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Mejorando vidas 


Si los lectores han de llevarse un solo mensaje de este Informe 2016 del Observatorio de la Ciberseguridad en 
America Latina y el Caribe, es que una enorme mayoria de nuestros palses aun estan poco preparados para 
contrarrestar la amenaza del cibercrimen. Su analisis es un llamado a la accion para empezar a hacer todo 
lo necesario por proteger esta infraestructura clave para el siglo XXI. 

Hay mucho en juego. Segun algunos calculos, el cibercrimen le cuesta al mundo hasta US$575,000 millones al 
ano 1 , lo que representa 0,5% del PIB global. Eso es casi cuatro veces mas que el monto anual de las donaciones 
para el desarrollo internacional. En America Latina y el Caribe, este tipo de delitos nos cuestan alrededor de 
US$90,000 millones al ano 2 . Con esos recursos podrlamos cuadruplicar el numero de investigadores cientlficos 
en nuestra region. 

Las ventajas de la conectividad son innegables, y los latinoamericanos y caribenos adoptan estas nuevas 
tecnologfas con entusiasmo. Hoy somos el cuarto mayor mercado movil del mundo, la mitad de nuestra 
poblacion usa el Internet y nuestros gobiernos emplean cada vez mas medios digitales para comunicarse y 
brindar servicios a los ciudadanos. 

Pero en donde nos quedamos cortos es en prevenir y mitigar los riesgos de la actividad delictiva o maliciosa en 
el ciberespacio. El Modelo de Madurez de Capacidad de Seguridad Cibernetica desarrollado en este informe 
es un buen punto de referencia para comenzar a encontrar soluciones que permitan remediar esta situacion. 

Un analisis de sus 49 indicadores demuestra que muchos palses de la region son vulnerables a ataques 
ciberneticos potencialmente devastadores. Cuatro de cada cinco palses no tienen estrategias de ciberseguridad 
o planes de proteccion de infraestructura crltica. Dos de cada tres no cuentan con un centro de comando 
y control de seguridad cibernetica. La gran mayoria de las fiscallas carece de capacidad para perseguir los 
delitos ciberneticos. 

Si vamos a sacarle la mayor ventaja posible a la llamada cuarta revolucion industrial 3 , tenemos que crear 
una infraestructura digital no solo moderna y robusta sino tambien segura. Proteger a nuestros ciudadanos 
del cibercrimen no es una mera opcion: es un elemento clave para nuestro desarrollo. 

Como tantos de los desaflos que enfrentamos en pos de ese desarrollo, este es un reto que excede la capacidad 
de cualquier institucion. Nuestros esfuerzos individuates se potencian cuando trabajamos con aliados que 
comparten nuestros objetivos y valores. Este informe se beneficio de ese tipo de colaboracion gracias a los 
aportes de la Organizacion de los Estados Americanos, la Universidad de Oxford, el Center for Strategic 
International Studies, la Fundacion Getulio Vargas, la organizacion FIRST, el Consejo de Europa, Potomac 
Institute y el Foro Economico Mundial. 

Espero que esta evaluacion rigurosa y sistematica, con sus utiles indicadores, sirva de gula y aliciente a los 
responsables de la ciberseguridad de nuestra region para avanzar rapidamente en el camino correcto. Quienes 
medran con el cibercrimen no nos daran tregua. 



Luis Alberto Moreno 
Presidente 

Banco Interamericano de Desarrollo 
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1. Center for Strategic and International Studies and McAfee 
(Firm). Net Losses : Estimating the Global Cost of Cybercrime. 
P.23, 2014. Web. 

2. Prandini, Patricia y Marcia L. Maggiore. Panorama del 
ciberdelito en Latinoamerica. Documento de trabajo. 
Montevideo: Registro de Direcciones de Internet para 
Latinoamerica, 2011. 

3. El Professor Klaus Schwab, Director Ejecutivo y Fundador 
del Foro Economico Mundial, definio el concepto de la 
Cuarta Revolucion Industrial mismo que guio la agenda de 
la ultima Reunion Anual en Davos en Enero del 2016. http:// 
www.weforum.org/agenda/2016/01/the-fourth-industrial- 
revolution-what-it-means-and-how-to-respond. 
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La realidad contundente de nuestro tiempo es que el Internet ha revolucionado la forma en que interactuamos 
con los demas y el mundo que nos rodea. El aumento de la conectividad a Internet hace que un numero cada 
vez mayor de personas esten conectadas en un espacio en gran parte publico y transnacional, y proporciona una 
plataforma dinamica y de crecimiento que permite que avance la comunicacion, la colaboracion y la innovacion 
en maneras en que nunca hubieramos podido imaginar hace muy poco tiempo. Esto es particularmente cierto en 
America Latina y el Caribe, donde mas de la mitad de nuestra poblacion ya esta en llnea y la tasa de crecimiento 
de usuarios de Internet se encuentra entre las mas altas del mundo. En las Americas y el Caribe estamos utilizando 
el Internet para compartir ideas y cultura; para mejorar el gobierno y los servicios sociales; para colaborar en 
la educacion, las ciencias y las artes; y para hacer negocios, todo con una mayor accesibilidad y eficiencia. Los 
mayores beneficios de este nuevo paradigma que esta emergiendo rapidamente es el impacto que ha tenido 
en la estimulacion de un nuevo crecimiento y desarrollo social y economico de la region. 

No se puede ignorar, sin embargo, que nuestra creciente conectividad y dependencia de las plataformas y 
servicios basados en Internet han aumentado considerablemente nuestra exposicion al riesgo -la de nuestros 
ciudadanos, empresas comerciales y gobiernos- a una gran cantidad de actividades y actores relacionados 
con la delincuencia y seguridad. Los datos disponibles indican claramente que los incidentes y ataques 
ciberneticos, en particular los que se realizan con intencion criminal, estan aumentando en frecuencia 
y sofisticacion. Las agencias gubernamentales y las empresas han llegado a reconocer la necesidad de 
tener fuertes marcos, medidas y capacidades de seguridad cibernetica, asl como contar imperiosamente 
con cooperacion e intercambio de informacion. En la actualidad se entiende que el delito cibernetico no 
reconoce fronteras nacionalesy que se requiere un esfuerzo multilateral y multidimensional para abordar 
la cantidad de amenazas informaticas. De hecho, se esta avanzando de manera importante. 

La Organizacion de los Estados Americanos (OEA) ha estado comprometida principalmente con temas de 
seguridad cibernetica y delincuencia cibernetica por mas de una decada, fomentando y apoyando la labor 
de nuestros Estados Miembros para fortalecer su capacidad para proteger a las personas, las economias y 
la infraestructura crltica de nuestra region contra la delincuencia cibernetica y otros ataques o incidentes 
ciberneticos. En 2004 los Estados Miembros de la OEA aprobaron la Estrategia Interamericana Integral para 
Combatir las Amenazas a la Seguridad Cibernetica, que abogaba por un esfuerzo coordinado de multiples 
partes interesadas en la lucha contra las amenazas ciberneticas en el hemisferio y proporcionaba un marco 
inicial para cultivar y guiar tal enfoque. Nuestros Estados Miembros fueron extraordinariamente previsivos 
cuando adoptaron esta vision desde el principio. Al hacerlo, creamos un espacio en el que la cooperacion 
significativa, entre un amplio numero de partes interesadas, ha mejorado el intercambio de informacion, 
mejorado la proteccion de la infraestructura de las tecnologfas de la informacion y las comunicaciones 
(TIC), fortalecido la capacidad de nuestros gobiernos para responder y mitigar incidentes ciberneticos y 
reforzado nuestra resiliencia individual y colectiva frente a amenazas ciberneticas. Estos compromisos se 
han reafirmado y fortalecido con los anos, a partir de la adopcion de numerosas declaraciones oficiales, 
incluyendo uno recientemente, en marzo de este ano, en relacion con el papel y las responsabilidades de 
la OEA y sus Estados Miembros en la promocion de la seguridad cibernetica, la lucha contra la delincuencia 
informatica y la proteccion de infraestructuras de informacion crltica. 

El Programa de Seguridad Cibernetica del Comite Interamericano contra elTerrorismo de la OEA (CICTE) ha 
jugado un papel clave en este frente. El programa ha ayudado a Estados Miembros a elaborar estrategias 
de seguridad cibernetica nacional, ha brindado capacitacion a los Equipos de Respuesta a Incidentes de 
Seguridad Informatica (CSIRT) nacionales y regionales, ha facilitado ejercicios de gestion de crisis con 
operadores de la industria nacional crltica y los activos de respuesta a emergencias, la sociedad civil dedicada 
y el sector privado y ha ayudado a crear conciencia sobre las amenazas y las oportunidades relacionadas con 
la seguridad cibernetica en nuestra region. En estas y otras maneras, el CICTE ha contribuido directamente 
a contar con un dominio cibernetico mas seguro y vigilante en el Caribe y America Latina. 
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A pesar de los avarices prometedores que hemos Logrado hasta el momento, La necesidad de continuar 
con cooperacion multilateral y la creacion de capacidad sigue siendo igual de urgente. Las tecnologias 
de la informacion y las innumerables formas en que las utilizamos siguen evolucionando a un ritmo 
acelerado, al igual que las vulnerabilidades que traen consigo y los actores y las amenazas que buscan 
aprovecharse de estas. Solo trabajando juntos podemos seguir el ritmo y asegurar que los beneficios 
de este dominio digital nuevo y en expansion supere los riesgos y los costos. 

Esto requiere que cultivemos una comprension de todo el alcance de las amenazas a nuestro dominio 
cibernetico, basado en la mas completa y actualizada informacion disponible. Sin embargo, hay una 
escasez de literatura integral en materia de seguridad cibernetica en America Latina y el Caribe. Desde 
2013, el Programa de Seguridad Cibernetica del CICTE de la OEA ha tratado de abordar este vacio de 
informacion a traves de una serie de informes integrates, preparados y publicados en colaboracion con 
Kderes de la industria de seguridad cibernetica. Estos informes han sido muy explicativos, ofreciendo 
la imagen mas detallada y precisa a la fecha de la seguridad cibernetica y la delincuencia cibernetica 
en nuestro hemisferio. 

Siguiendo con esta tradicion, la OEA se complace en presentarles, en colaboracion con el Banco 
Interamericano de Desarrollo (BID) y el Centro Global de Seguridad Cibernetica de la Universidad de 
Oxford, el Observatorio de Seguridad Cibernetica en America Latina y el Caribe. 

Este estudio tiene como objetivo profundizar en el conocimiento de los riesgos de seguridad cibernetica, 
los retos y oportunidades en America Latina y el Caribe. Mediante la utilizacion de encuestas y otros 
datos aportados por expertos y funcionarios de treinta y dos Estados Miembros de la OEA, el informe 
examina la "madurez cibernetica" de cada pals en cinco dimensiones: 1) politica y estrategia de seguridad 
cibernetica; 2) cultura y sociedad cibernetica; 3) educacion, formacion y competencias en seguridad 
cibernetica; 4) marcos jurldicosy reglamentarios; y 5) normas, organizaciones y tecnologias. Tambien hay 
que senalar que el Programa de Seguridad Cibernetica de la OEA recibio generoso apoyo de Microsoft, 
que ayudo a identificar areas clave que se presentaran en la fase inicial del proyecto. El enfoque del 
informe de pals por pals debera ayudarnos a desarrollar una comprension mas sutil de cada uno de los 
regfmenes de seguridad cibernetica de nuestros Estados y ayudar a los responsables politicos y tecnicos 
tanto a mejorar estrategicamente los esfuerzos existentes de seguridad cibernetica como a disenar e 
implementar nuevas iniciativas en el futuro. 

Hay que reconocer que estos resultados solo representan una instantanea en el tiempo de un paisaje 
siempre cambiante. Se necesitaran mas estudios para continuar al tanto de la situacion de la seguridad 
cibernetica en las Americas y el Caribe. Sin embargo, esperamos que al mejorar nuestra comprension 
colectiva de los retos y oportunidades de seguridad cibernetica que enfrenta actualmente nuestra region, 
la informacion y analisis contenidos en este informe ayudaran a los interesados en todos los sectores 
-gobierno, sector privado, academia y sociedad civil- a trabajar mejor juntos para construir un ciberespacio 
mas seguro, resiliente y productivo en nuestro hemisferio. Confiamos en poder seguir desempenando un 
papel en esta mision vital. 



Secretario General 

Organizacion de los Estados Americanos 


XII 


Sobre este informe 


EL Informe 2016 del Observatorio de La Ciberseguridad en America 
Latina y eL Caribe es eL resuLtado de una gestion de coLaboracion 
entre eL Banco Interamericano de DesarroLLo (BID) y La Organizacion 
de Los Estados Americanos (OEA) para presentar una imagen 
compLeta y actuaLizada deL estado de La seguridad cibernetica de 
Los paises de America Latina y eL Caribe. EL uso de una herramienta 
en Linea disenada en conjunto con eL Centro GLobaL de Capacidad 
sobre Seguridad Cibernetica de La Universidad de Oxford faciLito 
La recoLeccion de datos por parte de La OEA-BID de Los interesados 
en seguridad cibernetica que representan distintos sectores. Estos 
interesados incLuyen: agencias gubernamentaLes, operadores de 
infraestructuras criticas, Las fuerzas miLitares, La poLicia, eL sector 
privado, La sociedad civiL y La academia. Se consiguio informacion 
adicionaL a traves de diversas fuentes secundarias, que se ha citado 
a Lo Largo deL informe. 

Este informe consta de dos secciones principaLes. La primera 
seccion, "Contribuciones de expertos", consta de ensayos sobre 
Las tendencias de La seguridad cibernetica en La region, aportados 
por expertos internacionaLes en seguridad cibernetica. James 
A. Lewis, deL Centro de Estudios Estrategicos e InternacionaLes 
(CSIS), expLora eL papeL de La cooperacion internacionaL en La 
creacion y reguLacion normativa para La seguridad cibernetica y 
deLincuencia cibernetica en "Fomento de confianza cibernetica 
y dipLomacia en America Latina y eL Caribe". Lewis destaca eL 
trabajo de Los mecanismos regionaLes e internacionaLes para 
promover La cooperacion internacionaL en La proteccion deL 
ciberespacio. En "Seguridad cibernetica, privacidad y confianza: 
tendencias en America Latina y eL Caribe. EL camino a seguir", 
MariLia MacieL, NathaLia Foditsch, Luca BeLLi y Nicolas CasteLLon 
deL Centro de TecnoLogLa y Sociedad (CTS) de La Fundacion GetuLio 
Vargas (FGV) anaLizan eL desafio de equiLibrar eL intercambio 
de informacion con La privacidad y La Libertad de expresion 
y senaLan La importancia de contar con medidas taLes como 
Los marcos reguLatorios de privacidad y proteccion de datos y 
pLataformas de multiples partes interesadas, entre otros. En eL 
siguiente segmento, Maarten Van Horenbeeck, Cristine Hoepers 
y Pete ALLor deL Foro de Equipos de Respuesta a Incidentes de 
Seguridad (FIRST) escriben sobre La necesidad de contar con 
capacitacion y oportunidades educativas para Los Equipos de 
Respuesta a Incidentes de Seguridad Informatica (CSIRT), asi 
como una "comunidad fuerte e incLuyente de CSIRT". Luego, 
Alexander Seger deL Consejo de Europa (CoE) examina como Los 
paises de America Latina y eL Caribe han disenado y actuaLizado 
sus marcos LegisLativos para abordar Los deLitos informaticos, 
con especial entasis en La Convencion de Budapest y presenta 
una serie de estudios de caso. En "Economia digital y seguridad 
cibernetica en America Latina y eL Caribe", eL Consejo de La 
Agenda GLobaL sobre Seguridad Cibernetica del Foro Economico 
MundiaL (WEF) analiza Las conexiones entre eL desarroLLo de 


Las TIC, La seguridad cibernetica y Las economias nacionaLes 
de America Latina y eL Caribe. Por ultimo, MeLissa Hathaway 
y Francesca SpidaLieri del Instituto Potomac opinan sobre Lo 
esenciales que son La sostenibilidad y seguridad para asegurar 
La viabilidad economica a Largo plazo de La innovacion y eL 
crecimiento de Las TIC. 

La segunda seccion, "Reporte de paises” presenta una vision 
general del estado actual de La seguridad cibernetica en Los 
paises de La region del Caribe y America Latina sobre La base de La 
informacion obtenida a traves de La herramienta en Linea disenada 
en coLaboracion con eL GCSCC, de entrevistas con funcionarios de 
Los Estados Miembros y La investigacion documental. Los datos 
recogidos fueron analizados mediante eL uso de Los 49 indicadores 
del modelo de madurez de La capacidad de seguridad cibernetica 
desarroLLado por eL GCSCC, que se divide en cinco dimensiones: 1) 
PoLitica; 2) Sociedad; 3) Educacion; 4) LegisLacion; y 5) TecnoLogLa. 
Hay cinco niveles de madurez para cada indicador: 1) IniciaL; 
2) Formativo; 3) EstabLecido; 4) Estrategico; y 5) Dinamico. La 
profesora Sadie Creese, del GCSCC de La Universidad de Oxford, 
introduce Los reportes de paises y da su puntos de vista sobre Las 
conclusiones y algunas de Las tendencias regionaLes que sugieren. 
Cada perfiL de pais ofrece una breve reseha de Los acontecimientos 
recientes de seguridad cibernetica en eL pais, Las estadisticas 
sobre La poblacion del pais, eL numero de personas con acceso a 
Internet, Las suscripciones de telefonia moviL y eL porcentaje de 
penetracion de Internet. Ademas, cada perfiL muestra eL niveL de 
madurez del pais para cada indicador. 

A raiz de Los informes de pais, MeLissa Hathaway, Jennifer McArdLe 
y Francesca SpidaLieri del Instituto Potomac de Estudios Politicos 
ofrecen sus puntos de vista sobre Las conclusiones de Los informes. 
SenaLan eL creciente compromiso y La inversion que La region de 
ALC ha puesto a La seguridad cibernetica, aL tiempo que reconocen 
Los desafios pendientes, incLuyendo Las necesidades para Las 
estrategias nacionaLes de seguridad cibernetica, una mayor 
conciencia social de Los riesgos ciberneticos, Las asociaciones 
pubLico-privadas y Los mecanismos de intercambio de informacion. 

Este informe procura presentar una representacion integral de 
La ciberseguridad en La region. Las partes interesadas nacionaLes 
de diversos sectores pueden utiLizar esta informacion para 
comprender mejor La situacion de La seguridad cibernetica de 
su pais en un contexto regional. ELLo tambien puede ayudarLes 
a Los gobiernos y expertos en seguridad cibernetica a explorar 
nuevas ideas para eL fortalecimiento de La seguridad cibernetica 
en sus respectivos paises y en todo eL hemisferio. En generaL, Los 
resuLtados representan una instantanea en eL tiempo, que se 
puede utiLizar como punto de referencia a medida que Los paises 
continuen desarroLLando sus capacidades de ciberseguridad. 
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La conectividad a Internet acelera el crecimiento economico y crea 
oportunidades para los negocios y el comercio. La maximizacion 
del valor de la Internet y el ciberespacio debeser una parte central 
de la planeacion gubernamental. Sin embargo, estas oportunidades 
siempre traen sus riesgos. Las tecnologi'as de Internet aim no 
estan maduras. Los delincuentes las pueden explotar facilmente. 
Este riesgo es manejable, pero requiere de la atencion de los 
lideres nacionales. Para que el tema de la seguridad cibernetica 
llegue al nivel mas alto del liderazgo politico, todavia depende 
de varios factores: el interes personal, haber experimentado 
directamente la accion cibernetica maliciosa y las relaciones con 
otros Estados. Sin embargo, un numero creciente de presidentes y 
primeros ministros de todo el mundo han convertido la seguridad 
cibernetica en una prioridad. 

Se ha generado un amplio debate internacional sobre la seguridad 
cibernetica en los ultimos anos, lo que refleja el deseo de 
las naciones de responder a las tendencias inquietantes y de 
reforzar la estabilidad y la seguridad de los recursos mundiales 
ciberneticos. La comunidad internacional se ha centrado en los 
temas de las normas de seguridad cibernetica, las medidas de 
generacion de confianza y la creacion de capacidades. 

Esta es la agenda internacional para la seguridad cibernetica y 
merecen especial atencion cuatro grupos de discusion. Se trata de 
las conversaciones en el Grupo de Expertos Gubernamentales de 
las Naciones Unidas (GEG), la Organizacion para la Seguridad y la 
Cooperacion en Europa (OSCE), el Foro Regional de la Asociacion 
de Naciones del Sureste Asiatico (ASEAN, por sus siglas en ingles), 
y la OEA. Tambien es digno de mencion el papel de liderazgo del 
Proceso de Londres, puesto en marcha en 2011 por el entonces 
secretario de Relaciones Exteriores del Reino Unido, William 
Hague. Esta serie de reuniones internacionales informales tienen 
como objetivo generar un consenso sobre un comportamiento 
responsable en el ciberespacio. Ha habido cuatro reuniones, la 
ultima de las cuales, realizada en La Haya, elaboro un Informe 
del Presidente muy completo que recomienda una serie de 
posibles normas y establecio el “Foro Mundial sobre Experticia 
Cibernetica". La OEA es miembro fundador de este ultimo. El Foro 
facilitara el intercambio de experiencias, conocimientos y buenas 
practicas entre los responsables politicos y expertos ciberneticos 
de diferentes paises y regiones. La proxima reunion del Proceso 
de Londres esta programada tentativamente para la primavera 
de 2017 en el Hemisferio Occidental. 

Los GEG han sido de suma importancia para el establecimiento de 
la agenda global. Se han realizado cuatro en la ultima decada. El 
tercer grupo de expertos gubernamentales en 2013 fue un exito 
inesperado y definio un cambio historico que altero el panorama 
politico de la Internet. Implied el reconocimiento de que la 


soberania nacional, la Carta de la ONU y el derecho internacional 
se aplican al ciberespacio, revirtiendo, en pocas palabras, todo 
el edificio de un "bien comun mundial". La Asamblea General de 
la ONU aprobo esta aplicabilidad de la soberania, el derecho 
y la Carta de la ONU, y esto cambio la politica de la Internet y 
su gobernanza y de manera muy provechosa inserto el debate 
internacional sobre la seguridad cibernetica en el marco actual 
de las obligaciones y el entendimiento entre los Estados. 


Hacer frente a estos desafios 
requiere de esfuerzos diplomaticos 
y la cooperacion internacional. Algo 
que hemos aprendido en seguridad 
cibernetica es que ninguna nacion por 
si sola puede asegurar adecuadamente 
sus redes. La cooperacion es esencial. 


El cuarto GEG, que concluyo en junio de 2015, fue presidido por 
un alto diplomatico brasileno y conto con la participacion de 
Colombia, Mexico y Estados Unidos. Se pudo llegar a un consenso 
(en buena medida debido a la habilidad del Presidente), pero 
el Informe aun no ha sido aprobado por la Asamblea General. 
Este Grupo de Expertos Gubernamentales aprobo un conjunto 
adicional de normas y medidas para desarrollar capacidad 
y definio una serie de medidas de generacion de confianza 
voluntarias para aumentar la transparencia y fortalecer la 
cooperacion. Sorprendentemente, no fueron las normas las que 
resultaron ser el tema mas polemico, sino mas bien la aplicacion 
del derecho internacional para el ciberespacio, un area sobre la 
cual se necesitara trabajar mas en el futuro debate internacional. 

En su labor, el Grupo de Expertos Gubernamentales de 2015 se 
guio por los precedentes creados por un acuerdo de la OSCE 
en 2014 sobre medidas de fomento de confianza. Despues de 
diffeiles negociaciones, la OSCE adopto un conjunto fundamental 
e inicial de medidas voluntarias para aumentar la transparencia 
y la cooperacion. Estas medidas de generacion de confianza se 
centran en la transparencia y la coordinacion. Entre las medidas 
voluntarias acordadas en la OSCE se incluyen la provision de 
opiniones nacionales sobre la doctrina, estrategia y amenazas 
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ciberneticas. Los miembros de La OSCE tambien compartiran 
informacion sobre organizaciones, programas o estrategias 
nacionales pertinentes a la seguridad cibernetica, identificaran 
un punto de contacto para facilitar la comunicacion y el dialogo 
sobre cuestiones de seguridad relacionadas con TIC y estableceran 
vlnculos entre los CERT nacionales. 

El trabajo de los Grupos de Expertos Gubernamentales y la 
OSCE tiene implicaciones utiles para otras regiones del mundo, 
incluida America Latina y el Caribe, y para seguir avanzando 
en la construccion de la seguridad cibernetica a nivel regional 
y nacional. La OEA tiene un papel lider a nivel mundial en 
el desarrollo de la cooperacion internacional en materia 
de seguridad cibernetica. Su trabajo sobre el desarrollo de 
capacidades es un modelo para otras regiones. Ha implementado 
un numero importante de medidas para mejorar la seguridad 
cibernetica en todo el hemisferio. El Comite sobre Seguridad 
Hemisferica de la OEA publico una "Lista Consolidada de 
Medidas de Generacion de Confianza y Seguridad" que incluye 
intercambios voluntarios de informacion sobre la organizacion, 
la estructura, el tamano de las entidades ciberneticas del 
gobierno, el intercambio de documentos de polltica y doctrina, 
el establecimiento de puntos de contacto nacionales en materia 
de proteccion de infraestructuras crlticas e intercambio de 
investigacion entre Estados Miembros. 

Esta institucion tambien ha organizado una extensa serie de 
talleres y eventos de capacitacion sobre estrategias nacionales, 
medidas de fomento de confianza y el desarrollo de experticia 
cibernetica. Sus gestiones (ahora con la colaboracion del Banco 
Interamericano de Desarrollo) para vincular la seguridad 
cibernetica a las iniciativas de gobernanza eficaces les ayuda 
a los Estados Miembros en el trabajo de implementar el gobierno 
electronico de forma segura. Una de las areas a considerar es 
como extender aun mas la labor de la OEA y el BID sobre las 
medidas de generacion de confianza de manera que cubra 
asuntos de seguridad cibernetica. 

Estos esfuerzos para facilitar el desarrollo de estrategias 
nacionales y para desarrollar la capacidad han posicionado 
a las Americas como un lider global en seguridad cibernetica. 
Sin embargo, en America Latina y el Caribe, como en todas las 
regiones, los esfuerzos para lograr la estabilidad y la seguridad 
del ciberespacio estan en una etapa temprana. Los principales 
desaflos que enfrenta la region en seguridad cibernetica son 
el desarrollo de capacidades en todos los paises, la mejora 
de la cooperacion en delitos ciberneticos y el intercambio de 
informacion sobre mejores practicas, amenazas y vulnerabilidades. 


Hacer frente a estos desaflos requiere de esfuerzos diplomaticos 
y la cooperacion internacional. Algo que hemos aprendido 
en seguridad cibernetica es que ninguna nacion por si sola 
puede asegurar adecuadamente sus redes. La cooperacion es 
esencial. Esto hace que las gestiones regionales sean aun mas 
importantes, especialmente teniendo en cuenta los vlnculos 
entre la seguridad cibernetica, el desarrollo y el crecimiento 
economico. Las economlas nacionales que estan conectadas 
a la Internet global y que aprovechan el servicio de Internet 
crecen mas rapidamente y se van enriqueciendo. Una mejor 
seguridad cibernetica les permite a los paises aprovechar al 
maximo estas oportunidades. 

Por esta razon, es util considerar que medidas adicionales se 
podrlan realizar en el marco de la OEA sobre una base regional, 
no solo entre los gobiernos sino tambien entre las comunidades 
academicas y empresariales. America Latina y el Caribe, sobre la 
base del trabajo ya realizado, deberla centrarse en cuatro pasos. 

En primer lugar, la region deberla continuar su labor en la 
creacion de una base jurldica armonizada para abordar los 
delitos ciberneticos. El mejor vehlculo para esa cooperacion es 
la Convencion de Budapest sobre el delito cibernetico, pero hay 
obstaculos politicos para poder llegar a un acuerdo. Algunos 
paises se oponen a la Convencion alegando motivos justificables 
de que no participaron en la negociacion. Estas naciones no se 
han manifestado acerca de que cambiarlan en la Convencion; sin 
embargo, y vale la pena senalarlo, los paises con leyes de delitos 
ciberneticos debiles sufren mayores perdidas economicas. 

En segundo lugar, serla util seguir avanzando para llegar a 
un entendimiento comun sobre las infraestructuras crlticas y 
sus vulnerabilidades (una cuestion planteada por el experto 
colombiano en el GEG), incluyendo una definicion compartida 
de infraestructuras cruciales. 

En tercer lugar, serla beneficioso contar con un enfoque regional 
mas formal para la generacion de confianza, a partir de la "Lista 
Consolidada de Medidas de Fomento de Confianza y Seguridad" y 
basandose en el trabajo de La OSCE. Esto implicarla el intercambio 
de documentos nacionales de pollticas y leyes, reuniones periodicas 
entre funcionarios relevantes, incluidos los funcionarios a nivel 
politico, para discutir temas de la estabilidad, comercio y seguridad 
y el fortalecimiento de redes de cooperacion de funcionarios 
responsables a disposicion para consulta inmediata o asistencia 
en caso de una emergencia. 

En cuarto lugar, la region se beneficiarla de una formulacion 
continua de estrategias nacionales de seguridad cibernetica. Ya ha 
habido avances en este sentido, pero este progreso no es universal. 
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El contar con una estrategia aporta cierto grado de organizacion 
y coherencia a los esfuerzos nacionales y ofrece transparencia 
y seguridad tanto para ciudadanos como para pai'ses vecinos. El 
desarrollo de una estrategia es, por supuesto, una prerrogativa 
nacional, pero hay muchas ventajas en un enfoque de colaboracion 
para el debate y desarrollo de este tipo de estrategias. 

Se pueden describir brevemente los elementos generales de 
una estrategia nacional. Los palses necesitan un organo de 
coordinacion en las oficinas de la Presidencia o del Primer 
Ministro para supervisar la aplicacion, coordinar las gestiones 
de las entidades y, a veces, resolver disputas. La estrategia 
debe asignar responsabilidades para la seguridad cibernetica 
entre los ministerios pertinentes y estos ministerios deben 
desarrollar fuertes lazos con el sector privado para crear 
un enfoque de colaboracion, en particular con la energla 
electrica, las telecomunicaciones y las finanzas. Los gobiernos 
nacionales necesitan organizaciones de seguridad cibernetica 
adecuadamente atendida que incluyan como mi'nimo un CERT 
nacional y policla ciberneticamente capaz. Por ultimo, debe 
haber un esfuerzo para generar la confianza y relaciones de 
cooperacion con los palses vecinos y que contribuya al esfuerzo 
global para hacer que el ciberespacio sea mas seguro. La creacion 
de capacidad sigue siendo esencial y todas las naciones se 
benefician del intercambio de mejores practicas y de informacion 
sobre amenazas y vulnerabilidades. Tener una estrategia nacional 
es esencial para la generacion de confianza y seguridad entre 
las naciones de la region. 

Ha habido un buen avance, pero los gobiernos ignoran la 
seguridad cibernetica, lo cual es muy riesgoso. A medida que todas 
las sociedades se vuelvan mas dependientes de las maquinas 
y las redes soportadas por computadores (y esto es inevitable 
ya que las computadoras estan incrustadas en los objetos de 
uso cotidiano, tanto en los automoviles como en maquinaria 
industrial), la necesidad de adelantar acciones crecera. En esto, 
el Hemisferio Occidental ha avanzado mucho, pero aun queda 
mucho trabajo por hacer. ■ 



James Andrew Lewis 
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Seguridad cibernetica, privacidad 
y confianza: tendencias en America 
Latina y el Caribe. El camino a seguir 

FGV | Fundacion Getulio Vargas 

Marilia Maciel, Nathalia Foditsch, Luca Belli y Nicolas Castellon 


Introduction: cuestiones fundamentales en juego 

Los objetivos de las estrategias de seguridad cibernetica son por 
lo general dos: i) proteger a la sociedad frente a las amenazas 
ciberneticas; y ii) fomentar la prosperidad economica y social en 
un contexto en el que las principals actividades se basan en el uso 
de Tecnologfas de la Informacion y de la Comunicacion (TIC). Con 
el fin de alcanzar plenamente estos objetivos, las estrategias de 
seguridad cibernetica nacional deben armonizarse con los valores 
y derechos fundamentales, tales como la privacidad, la libertad de 
expresion y el debido proceso, asl como con los principios tecnicos 
clave que han permitido la innovacion en Internet, tales como 
la apertura, la universalidad y la interoperabilidad 1 . El respeto 
de los derechos humanos y de estos principios arquitectonicos 
es clave para fortalecer la confianza y fomentar el crecimiento 
economico. 


El respeto de los derechos humanos 
y de estos principios arquitectonicos 
es clave para fortalecer la confianza 
y fomentar el crecimiento economico 


En las regiones desarrolladas del mundo, las estrategias de 
seguridad cibernetica tienen un enfoque integral, que abarca 
aspectos economicos, sociales, educativos, juridicos, de aplicacion 
de la ley, tecnicos, diplomatics, militares y relacionados con la 
inteligencia 2 . Las consideraciones de soberanfa en la formulacion 
de pollticas de seguridad cibernetica son cada vez mas relevantes 
y se puede notar una mayor participacion de los militares y de 


las ramas de inteligencia del gobierno 3 . Sin embargo, cuando las 
estrategias de seguridad cibernetica se centran exclusivamente 
en asuntos militares y de inteligencia, es posible que no alcancen 
un equilibrio adecuado entre la seguridad y los derechos, tales 
como la privacidad y la libertad de expresion y de asociacion. 

Cuantos mas datos se intercambian con el uso de las TIC, mas 
surgen preocupaciones de seguridad y privacidad ciberneticas. 
Por otra parte, la tendencia cada vez mayor de tener requisitos 
de retencion de datos obligatorios que se justifican en virtud 
de razones de seguridad puede entrar en conflicto con la 
privacidad, el anonimato y la libertad de expresion, si los h'mites 
de retencion de datos y el uso de los datos conservados no se 
basan en principios, como la necesidad, proporcionalidad y el 
debido proceso. 


Tendencias a nivel de America Latina y el Caribe 

La conciencia de la importancia de desarrollar estrategias de 
seguridad cibernetica esta aumentando entre los pafses de la 
region de America Latina y del Caribe (ALC). Algunos de ellos ya 
tienen una estrategia en operacion, como Colombia, Jamaica, 
Panama y Trinidad y Tobago. Otros pai'ses estan en proceso 
de su desarrollo, como Costa Rica, Dominica, Peru, Paraguay y 
Suriname. El nivel de madurez de estas estrategias varla, incluso 
en terminos de proporcionar un marco para la cooperacion 
entre los organismos gubernamentales y con actores externos. 

En la region de ALC, el ejercito y las entidades de seguridad 
nacional no han sido ampliamente establecidos como 
coordinadores del desarrollo de la polltica de seguridad 
cibernetica. Esto proporciona una ventana de oportunidad 
positiva para desarrollar pollticas de seguridad cibernetica 
en plataformas de multiples partes interesadas, incluidas las 
diferentes ramas gubernamentales, la academia, la comunidad 
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tecnica, La sociedad civil y el sector privado. Los pafses de 
ALC podrfan avanzar hacia un nuevo concepto de seguridad 
cibernetica que no se deriva solamente de los dominios militares 
y de defensa, sino tambien de los derechos humanos. 

La cooperacion entre multiples interesados es notable en 
muchos pafses de ALC. Se puede encontrar, por ejemplo, en la 
creacion de Equipos de Respuesta a Incidentes de Seguridad 
Informatica (CSIRT), que se han generalizado en toda la region. 
La colaboracion entre los CSIRT nacionales ha permitido el 
intercambio de conocimientos y buenas practicas, lo que ha 
llevado a la creacion de sistemas de comunicacion mas seguros y 
robustos. La mejora de las capacidades nacionales es importante 
para aumentar la confianza en los servicios digitales publicos 
y privados, que allanan el camino para una economia digital 
emergente y la gobernanza electronica fiable. 


Tambien es necesario equilibrar los 
costos y los beneficios de contar con 
disposiciones de retencion de datos. 

Una de las principales preocupaciones planteadas en los pafses de 
ALC ha sido la definicion y penalizacion de los delitos ciberneticos 4 , 
ya sea por la creacion de nuevas leyes o actualizacion de las 
ya existentes. Brasil ofrece un caso interesante. Un proyecto 
de ley draconiana que contiene disposiciones de delincuencia 
cibernetica se propuso ante el Congreso 5 y tuvo una fuerte 
oposicion por parte de los academicos y la sociedad civil. El 
gobierno estaba convencido de que, en lugar de una ley penal, 
Brasil necesitaba definir los derechos y responsabilidades de 
los usuarios de Internet. Esto culmino en la aprobacion del 
Marco Civil de Internet, que trata temas como la proteccion de 
los derechos fundamentales en linea, la neutralidad de la red, 
la responsabilidad de los intermediaries, las responsabilidades 
del sector publico y la retencion de datos. 

Otra tendencia regulatoria en la region de ALC es una creciente 
preocupacion por la proteccion de la privacidad en linea y los 
datos personates. Despues de las revelaciones de Snowden, 
en 2013, la conciencia de la interseccion entre la seguridad 
cibernetica y los datos personates ha quedado mas clara, ya que 
se trataba de comunicaciones electronicas diarias. A medida que 
Internet se ha vuelto esencial para el desarrollo socioeconomico 


de America Latina, las consecuencias de no protegerla puede 
afectar la confianza de las actividades en linea, que tiene 
consecuencias potencialmente negativas para la economia de 
Internet y en la sociedad en su conjunto. 

En su estudio de 2014 titulado, "America Latina y la proteccion de 
datos personates: hechos y cifras (1985-2014)", Nelson Remolina 
Angarita encontro que el 70% de los pafses de America Latina 
tienen algun tipo de proteccion de datos en sus constituciones 6 . 
Por otra parte, distintos pafses, por ejemplo, Antigua y Barbuda, 
Argentina, Colombia, Costa Rica, Mexico, Peru y Uruguay, ya 
han promulgado leyes de proteccion de datos y otros, como 
Brasil 7 , estan en proceso de redaccion de estas. A pesar de esto, 
la retencion de los datos obligatorios es una practica cada vez 
mas utilizada en la region y, en muchos casos, se pueden obtener 
datos almacenados sin una orden judicial. 

La retencion de datos puede ser necesaria en algunos casos para 
reunir pruebas y para permitir que se realice la investigacion 
de delitos ciberneticos. Sin embargo, la recoleccion de datos 
personates con fines de investigacion debe limitarse a lo 
estrictamente necesario para la prevencion de un peligro real 
o para la supresion de un delito especffico 8 . Por lo tanto, la 
recopilacion de datos en gran volumen es contraria a esta 
disposicion. Aunque las legislaciones nacionales regulan aim 
mas los casos especiales, esto se debe hacer de una manera 
que no menoscabe estos principios basicos. El procesamiento 
de la informacion tambien debe ser adecuado, pertinente 
y no excesivo en relacion con el proposito para el que fue 
almacenada 9 . Si no se establecen Ifmites para la retencion de 
datos, se seguiran reduciendo las reglas de privacidad y esto 
puede poner en grave peligro los derechos fundamentales de 
los usuarios de Internet. Por otra parte, esto podrfa representar 
una carga regulatoria costosa para las empresas, especialmente 
las pequenas y medianas. Los siguientes son algunos ejemplos 
de como se aplican estas disposiciones en la region. 

En Argentina, una ley 10 fue impugnada ante la Corte Suprema, 
debido a que autorizo la interceptacion de telefonos y 
comunicaciones electronicas sin contar con directrices para 
la aplicacion de las disposiciones 11 . Ademas, se requiere que 
los datos se almacenen durante 10 anos. La ley fue declarada 
inconstitucional por la Corte Suprema en 2009. 

En Brasil, el Marco Civil de Internet 12 , promulgado en 2014, ha 
sido considerado como un documento de avanzada que protege 
los intereses de los ciudadanos. No obstante, sus disposiciones 
relativas a la retencion obligatoria de datos posiblemente podrfan 
inclinar la balanza hacia las preocupaciones de seguridad sobre 
la privacidad y las libertades civiles. Segun el Marco Civil, los 
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registros de servicios y aplicaciones deben ser almacenados 
durante seis meses, mientras que Los registros de conexion deben 
almacenarse durante un ano 13 . 

En Mexico, se promuLgo en 2014 una ley de telecomunicaciones 14 
con diferentes disposiciones de retencion de datos. Las 
autoridades publicas pueden acceder a datos retenidos sin una 
orden judicial. Por otra parte, algunos datos deben almacenarse 
24 meses. Esto corresponde a un aumento de 12 meses en 
comparacion con la norma que ya operaba. 


Es importante crear canales 
para una cooperacion a varios niveles 
entre los gobiernos nacionales 
y las organizaciones internacionales 
regionales y mundiales que trabajan 
en el campo. 


En Paraguay, un proyecto de ley conocido como "pyraweb" 15 
requiere proveedores de servicios de Internet para almacenar los 
metadatos de un ano 16 . Por otra parte, las autoridades publicas no 
necesitaban una orden judicial para solicitar los datos. Despues 
de enfrentarse a la presion politica de los grupos de la sociedad 
civil, el proyecto de ley fue rechazado por el Senado. 


El camino a seguir 

Teniendo en cuenta las tendencias descritas en este documento, 
asf como la necesidad de proteger el pleno disfrute de los derechos 
humanos de los usuarios de Internet, se pueden hacer algunas 
recomendaciones. Estas recomendaciones no abarcan la amplia 
gama de cuestiones relacionadas con el equilibrio entre la 
seguridad y la proteccion de los derechos humanos. Sin embargo, 
se abordan algunos puntos fundamentales a tener en cuenta 
por los paises dispuestos a salvaguardar los derechos, mientras 
abordan problemas de seguridad importantes. 


Definir y hacer cumplir los marcos regulatorios de proteccion 
de datos y privacidad acertados 

Es esencial equilibrar la provision de seguridad con la necesidad 
de salvaguardar adecuadamente los derechos de los individuos. La 
aprobacion y aplicacion de los marcos de privacidad y proteccion 
de datos acertados ayudan a lograr este objetivo. Tambien es 
necesario equilibrar los costos y los beneficios de contar con 
disposiciones de retencion de datos. Mientras que grupos de la 
sociedad civil estan preocupados por cuestiones de privacidad, 
la industria se preocupa por la carga normativa que tiene que 
enfrentar, lo que se traduce en mayores costos para operar sus 
negocios. Deben utilizarse los principios como la necesidad y 
proporcionalidad para evaluar lo adecuado de estas disposiciones. 

La creacion de plataformas nacionales multisectoriales 
sostenibles 

Es importante tener en cuenta los diferentes aspectos y 
consecuencias, asf como la viabilidad tecnica de la promulgacibn 
de nuevas regulaciones. Grupos de la sociedad civil, la academia 
y la comunidad tecnica, asf como representantes de la industria 
pueden proporcionar valiosa experiencia desde sus perspectivas, 
y ayudar a disenar un marco reglamentario racional de una 
manera sostenible. Estas redes de multiples partes interesadas 
podrfan ayudar a desarrollar un enfoque con vision de futuro 
para la seguridad cibernetica en la region, que tiene en cuenta 
los avances tecnologicos, como dataficacion, grandes datos y la 
Internet de las cosas, y que tiene en cuenta el impacto de estas 
tecnologfas en la seguridad y privacidad. 


Fortalecimiento de la cooperacion internacional 

La seguridad cibernetica se ha ido integrando cada vez mas en 
el piano internacional 17 . Es importante crear canales para una 
cooperacion a varios niveles entre los gobiernos nacionales y 
las organizaciones internacionales regionales y mundiales que 
trabajan en el campo. Fortalecer la cooperacion regional tambien 
puede facilitar la inclusion significativa de los paises de la region 
en las discusiones globales en curso. La naturaleza sin fronteras de 
Internet aumenta la importancia de la cooperacion internacional 
y la armonizacion de los marcos legales. 
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Conclusion 


Este documento presenta una breve descripcion de como Los 
paises de America Latina han abordado la interaccion entre La 
seguridad cibernetica y Los derechos fundamentals, centrandose 
en particular en el derecho a la privacidad y a la proteccion de 
datos personales. Tambien ofrece sugerencias sobre el camino 
a seguir, tales como el desarrollo de marcos de privacidad 
y proteccion de datos adecuados, el fortalecimiento de la 
cooperacion internacional y la creacion de marcos claros para 
la colaboracion entre las partes interesadas. Es esencial fomentar 
el desarrollo de mecanismos de gobernanza democratica 
apropiados, a nivel nacional e internacional, sobre la base de 
un esfuerzo multisectorial. ■ 
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N°R (87) 15 por medio de la cual se regula el uso de los datos 
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9. Consejo de Europa. Convenio para la proteccion de las personas 
en relacion con tratamiento automatico de datos personales. 
ETS 108, en el articulo 5. 

10. Ley 25.873 y Decreto 1563/04. 

11. Corte Suprema de la Republica de Argentina. Halabi, Ernesto 
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Notas 

1. DAIGLE, Leslie. "On the Nature of the Internet". Global 
Commission on Internet Governance Paper series N.7. 
Marzo de 2015. https://www.cigionline.org/sites/default/ 
files/gcig_pa per_no7.pdf 

2. OECD. "Cyber security policy making at a turning point: 
Analyzing a new generation of national cybersecurity strategies 
for the Internet economy". OCDE, 2012, p. 12. 

3. Id, p. 14. 

4. OAS; Symantec. "Tendencias de Seguridad Cibernetica en 
America Latina y El Caribe, 2014". http://www.symantec.com/ 
content/es/mx/enterprise/other_resources/b-cyber-security- 
trends-report-lamc.pdf 

5. Proyecto de Ley 84/99 


Ley 12.965/14. 

Veanse los articulos 13 a 15 de Ley 12.965/14. 

Ley de Telecomunicaciones y Radiodifusion, 2014. 

La palabra "pyraweb" alude a los informantes de los tiempos 
de la dictadura (pyrague, en guarani - una lengua indigena). 

El proyecto de ley se encuentra disponible en httpy/odd.senado. 
gov.py/archivos/file/Proyecto%20de%20Ley8.pdf 

La seguridad cibernetica es una de las prioridades identificadas 
en el proceso decenal de examen de los resultados de la 
Cumbre Mundial sobre la Sociedad de la Informacion (CMSI). La 
Vision CMSI + 10 hizo entasis en la complementariedad entre 
la seguridad y la privacidad y definio que "la construccion de la 
confianzay seguridad en la utilizacion de las TIC, especialmente 
en temas como la proteccion de datos personales, la 
privacidad, la seguridad y la solidez de las redes", debe ser 
una de las prioridades mas alia de 2015. En diciembre de 
2013, la Asamblea General de las Naciones Unidas aprobo la 
resolucion 68/167, que expresa su profunda preocupacion por 
el impacto negativo que la vigilancia e interceptacion de las 
comunicaciones pueden tener en los derechos humanos. La 
Resolucion 69/166, aprobada en 2014, se basa en la anterior, 
pidiendo el acceso a un recurso efectivo para las personas 
cuyo derecho a la privacidad ha sido violado. El 26 de marzo 
de 2015, el Consejo de Derechos Humanos creo el mandato 
de un Relator Especial sobre el Derecho a la Privacidad. Sin 
embargo, la cooperacion intergubernamental en materia 
de ciberseguridad sigue fragmentada a traves de diferentes 
organismos y foros en las Naciones Unidas. En paralelo, una 
Conferencia Mundial sobre el Espacio Cibernetico (GCCS) 
anual, conocida como el "Proceso de Londres" ha reunido a 
los gobiernos y otras partes interesadas para discutir temas 
en una amplia gama de asuntos relacionados con la seguridad 
cibernetica. 
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CSIRT-GT 

Guatemala 


SalCERT 

El Salvador 


CSIRT-CR 

Costa Rica 


colCERT 

Colombia 


CSIRT-Panama 

Panama 


ecucert 

Ecuador 


PeCERT 

Peru 

CSIRT-BO 

Bolivia 


VenCERT 

Venezuela 


Un Equipo de Respuesta ante Incidentes de Seguridad 
Informatica (CSIRT, por sus siglas en Ingles) se define 
como un equipo o una entidad dentro de una agenda que 
proporciona servicios y apoyo a un grupo particular (la 
comunidad de desti no) con el fin de prevenir, manejar y 
responder a los incidentes de seguridad de la informacion. 
Estos equipos estan compuestos generalmente por 
especialistas multidisciplinarios que actuan de acuerdo 
con los procedimientos y politicos predefinidos para 
responder rapida y eficazmente a los incidentes de 
seguridad y para reducir el riesgo de ataques ciberneticos. 
Hay cientos de CSIRT en el mundo que varian en su mision 
y alcance. Una de las principales formas de clasificar a los 
CSIRT es agruparlos por el sector o la comunidad a los que 
sirven. A continuacion se presentan algunos de los CSIRT 
nacionales dentro de los Estados Miembros de la OEA. 


CERT-PY 

Paraguay 


CERTuy 

Uruguay 

ICIC-CERT 

Argentina 


CSIRT-CL 

Chile 


TT-CSIRT 

Trinidad 


CSIRT.GY 

Guyana 


CERT.Br 

Brasil 
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Introduction 

EL Foro de Equipos de Seguridad y de Respuesta a Incidentes 
(FIRST) es una asociacion mundial de equipos de respuesta a 
incidentes con miembros en mas de 70 paises, permitiendoles 
responder de manera mas eficaz a incidentes de seguridad 
mediante La provision de acceso a mejores practicas, organizacion 
de eventos y ofrecimiento de educacion para Los Equipos de 
Respuestas a Incidentes de Seguridad Informatica (CSIRT, por 
sus sigLas en ingLes). Este documento expLora aLgunas de Las 
experiencias que eL FIRST ha tenido en La atencion a una ampLia 
variedad de circunscripciones, nuestro punto de vista de La 
capacidad de respuesta a incidentes y Lo que Las organizaciones 
pueden hacer para mejorar eL estado generaL de La seguridad 
cibernetica en La region. 


Un mundo cada vez mas complejo 

Cuando se estabLecio originaLmente eL FIRST en 1989, eL mundo era 
un Lugar muy diferente deL actuaL. En esos primeros anos nuestros 
equipos miembros de respuesta a incidentes ya trataban con 
incidentes compLejos, pero eL aLcance y La cantidad de Los sistemas 
afectados eran casi gLobaLmente menores, en comparacion 
con eL presente. Se comenta que eL gusano Morris, que en 1988 
comenzo a expLorar La creciente red, afecto aLrededor deL 10% 
de Internet, o sea, unas 6.000 maquinas en totaL 1 . 

Un trasLado rapido aL presente evidencia un gran numero de 
asuntos compLejos, que incLuyen: 

• Grandes botnets de software maLicioso, como CitadeL, que 
Microsoft Corporation estimo haber infectado a mas de 1,9 
miLLones de cLientes 2 . 

• Grandes ataques de Denegacion de Servicio Distribuido (DDoS) 
de hasta 500 Gbps 3 que corren eL riesgo de afectar Los puntos 
de intercambio de Internet (IXP) 4 . Ademas, estos ataques DDoS 
se habiLitan a traves de una inadecuada configuracion de miLes 
de terminates, por Lo que eL probLema se hace imposibLe de 
resoLver por parte de una soLa nacion u organizacion. 

• Ataques de codigo maLicioso compLejos que aprovechan 
vuLnerabiLidades de dia cero, apaLancadas tanto en ataques muy 
concretos como en actividades de deLincuencia informatica. 

Estos cambios requieren que se ajusten rapidamente Los 
responsabLes de Las respuestas a incidentes. Los equipos de 
respuesta a incidentes con responsabiLidad nacionaL cada vez 


ofrecen una mayor variedad de servicios, incLuida La capacidad 
de proporcionar informacion fidedigna sobre amenazas de 
seguridad a Las circunscripciones, eL trabajo con vendedores y 
proveedores de servicios para asegurar un ecosistema de Internet 
mas saLudabLe y eL tener profundas habiLidades de investigacion 
para anaLizar Los ataques que son menos comprendidos. Esto 
puede ser un gran desafio para Los equipos menores de respuesta 
a incidentes. 


Cumplimiento de estos desafios 

Como taL, es importante para La comunidad de respuesta a 
incidentes reconocer estas diferencias y trabajar sobre Las 
maneras de abordarLas. Dentro deL FIRST vemos exito en estas 
areas de La siguiente manera. 

• Los Equipos de Respuesta a Incidentes que responden pueden 
hacer contacto con otros para mitigar ataques. 

• Los CSIRT habLan eL mismo idioma operativo y tienen 
expectativas precisas sobre eL uso de La informacion 
proporcionada cuando trabajan con otro equipo durante un 
incidente. 

• La comunidad cuenta con Las herramientas y tecnicas que 
permiten eL intercambio automatizado de informacion. 
Los anaListas aprovechan La informacion para comprender 
verdaderamente Las ramificaciones deL incidente y toman Las 
decisiones acertadas para reducir Los riesgos mientras mitigan 
eL ataque. 

Para LLegar a este punto, vemos necesario eL desarroLLo de una 
comunidad de CSIRT fuerte e incLuyente, La disponibiLidad de 
formacion y educacion para Los miembros de La comunidad y 
La necesidad de contar con practicas estandarizadas dentro de 
esta comunidad. 

La comunidad CSIRT no puede tener exito en eL aisLamiento. 
Uno de Los aspectos interesantes de La region de Las Americas 
es que existen grandes discrepancias en eL conocimiento de 
Los asuntos de seguridad cibernetica entre Los paises, tanto en 
eL gobierno como en La pobLacion generaL. Se espera que esto 
continue a medida que mas usuarios nuevos entran en Lfnea y se 
demuestra en tasas impresionantes de crecimiento de usuarios 
en todo eL continente. Las gestiones en seguridad deben incLuir 
eL desarroLLo de una cuLtura de seguridad cibernetica, taL como 
Lo propone La OEA 5 , Lo que crea un ambiente fertiL en eL que 
puedan operar Los CSIRT. 
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Las gestiones deben incluir La formacion de conciencia de 
usuarios y operadores de Internet, el fomento de una estrecha 
colaboracion publico-privada con el sector privado, y el desarrollo 
de pollticas apropiadas del delito cibernetico que apoyen y 
tengan en cuenta la privacidad. Ademas la seguridad comienza 
con la conciencia y el uso de mejores practicas en tecnologia. A 
este respeto la academia tiene un papel muy importante en la 
ensenanza a los profesionales no especializados en seguridad 
sobre como construir tecnologfas seguras. 


Arraigados en la comunidad 

Idealmente, la comunidad de CSIRT deberia lograr que cada 
organizacion cuente con una capacidad de respuesta a incidentes 
bien equipada. Puede ser un solo individuo o un equipo pequeno, 
pero cada organizacion debe poder asumir la responsabilidad 
por el trafico que genera. Sin embargo dado el gran numero de 
redes y su respectivo crecimiento, esto podrla considerase un 
panorama ilusorio. Una alternativa es que cada pals desarrolle 
su "CSIRT de ultimo recurso" 6 , un CSIRT que puede ser punto 
de coordinacion para aquellas redes que puedan no tener un 
equipo de respuesta a incidentes bien entrenado y directamente 
accesible. Se debe entender bien que, al final, cada organizacion 
es responsable de su propia seguridad; un equipo nacional solo 
puede apoyar en la coordinacion pero no podra "desconectar" 
o investigar cada maquina comprometida. 

En 2014, el FIRST y el CERT.br lideraron una iniciativa dentro del 
Foro de Gobernanza de Internet para el desarrollo de mejores 
practicas para la comunidad de los CSIRT. Un aspecto manifestado 
unanimemente dentro de la comunidad de participantes fue la 
necesidad de desarrollar un "CSIRT de ultimo recurso" que saiga 
de la comunidad, en lugar de ponerlo en marcha a traves de una 
decision vertical del gobierno. Para garantizar la efectividad de 
un CSIRT, la confianza es un requisito muy importante, y la unica 
manera de desarrollar confianza es a traves de un historial de 
colaboracion y participacion en la comunidad de seguridad. Tiene 
una importancia menor que el CSIRT sea operado por el gobierno, 
un proveedor de red, una entidad comercial o la academia, siempre 
y cuando se desarrolle en asociacion con toda la comunidad de 
trabajo en red y seguridad dentro de la region. 

No puede subestimarse la necesidad de contar con CSIRT robustos 
en empresas, la academia y el gobierno. Los gobiernos tienen un 
importante papel que desempenar en motivar el desarrollo de 
estos equipos, asl como percatarse que no pueden "imponer" la 
confianza que les permita alcanzar sus metas: deben identificar 
quien les otorga la confianza, fomentar su crecimiento para el pals 


en general y trabajar con todos. La confianza tambien esta ligada 
a los servicios que un CSIRT ofrece. Cuando un CSIRT se centra 
correctamente en responder y mitigar un incidente, a menudo 
las corporaciones y organizaciones extranjeras confiaran mas 
en ellos y proveeran mayor informacion para apoyar su mision. 
Esta informacion puede limitarse cuando el CSIRT cumple un 
papel en la persecucion criminal o es parte de un servicio de 
inteligencia. El tipo de informacion proporcionada a cualquiera 
de estas organizaciones tiende a ser diferente y los roles, por lo 
tanto, deben segregarse debidamente. 


Desarrollo de capacidad 

Cuando existe una red de CSIRT, es importante la creacion 
continua de su capacidad. Vemos tres niveles diferentes de 
mejoramiento en la prestacion de servicios de los CSIRT: 

Competencia - ,-Puede usted hacerlo? Una competencia define 
una actividad medible que puede ser desempenada como parte 
de las funciones y responsabilidades de una organizacion. Para el 
proposito del marco de servicios de los CSIRT, las competencias 
pueden definirse como los servicios mas amplios o como tareas, 
sub-tareas o funciones necesarias. 

Capacidad - ^Cuanto puede usted hacer? La capacidad define 
el numero de ocurrencias simultaneas de una competencia en 
particular que una organizacion puede ejecutar antes de alcanzar 
alguna forma de agotamiento de recursos. 

Madurez - <;Que tan bien puede usted hacerlo? La madurez define 
el grado de eficacia con el que una organizacion ejecuta una 
competencia en particular dentro de la mision y las autoridades 
de la organizacion. 

Es necesario centrarse en cada uno de estos tres elementos a 
fin de tener exito en el aumento de la eficacia de un programa 
de CSIRT. 

En 2014 el FIRST lanzo una iniciativa para poner en marcha un 
programa de educacion impulsado por la comunidad 7 , el cual 
se encuentra desarrollando una lista autorizada de los servicios 
ofrecidos por un CSIRT y pondra a disposicion, sin costo alguno, un 
curriculo detallado para cada servicio. Esta iniciativa es apoyada 
porvarios CSIRT nacionales, incluyendo el CERT.br asl como varias 
organizaciones internacionales, como OEA, y se espera que haga 
entrega de materiales de formacion inicial a finales de 2015. 
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Normas y estandarizacion 

Un area adicional de inversion para la comunidad de respuesta 
a incidentes es La estandarizacion de procedimientos y trabajo 
en normas abiertas. Hay una necesidad imperiosa de contar con 
normas que permitan que los equipos de respuesta a incidentes 
intercambien datos durante un incidente, o lleguen a acuerdos 
sobre los metodos adecuados para gestionar un determinado tipo 
de incidente. Las normas les permiten a los equipos aprovechar la 
confianza que han construido entre ellos y asignar a sus analistas 
para la solucion de problemas diflciles. 

Aqui vemos una necesidad de que la comunidad considere la 
adopcion de normas de intercambio de informacion, tales como 
STIX ("Structured Threat Information expression" en ingles) y 
TAXII ("Trusted Automated Exchange of Indicator Information" 
en ingles), asi como las normas para definir adecuadamente 
el riesgo de una vulnerabilidad particular, como el CVSS 
("Common Vulnerability Scoring System” en ingles). El FIRST 
ha apoyado estas y otras normas utiles mediante el patrocinio 
de su desarrollo 8 , como es el caso del CVSS, o el trabajo con 
nuestros miembros para organizar cursos de formacion en la 
ensenanza de practicas estandarizadas. 


Proximos pasos para la comunidad 

Hay mucho trabajo por hacer para garantizar un mayor desarrollo 
de una Internet segura para los usuarios en las Americas y este 
trabajo es mas importante cada dia como consecuencia de 
las altas tasas de crecimiento en la adopcion de Internet. Los 
gobiernos tienen la oportunidad de motivar al sector privado, la 
sociedad civil y la academia en el desarrollo de una capacidad de 
respuesta a incidentes dentro de su sector y dentro de cada una de 
las organizaciones. Ademas, los gobiernos deben garantizar que 
entre los equipos con responsabilidad nacional exista un "CSIRT 
de ultimo recurso" para su pais, que activamente genere confianza 
con cada una de estas organizaciones y tenga la capacidad, no 
de decidir en su nombre, sino mas bien de coordinar todos los 
sectores cuando ocurra un incidente. 

La OEA desempena un papel unico en su capacidad para convocar 
a los gobiernos de la region para reunirse y hablar de estos temas. 
En 2015 el FIRST firmo un Memorando de Entendimiento con 
la OEA 9 , en el que respaldamos el papel importante de la OEA 
en la ayuda al fortalecimiento de la capacidad de respuesta a 
incidentes en la region. El FIRST espera poder proporcionarle a 
la OEA el apoyo de la comunidad tecnica y nuestros esfuerzos 
de educacion en el logro de estos objetivos. 


Se alienta a las organizaciones que tienen una posicion unica 
en la aportacion de financiamiento para estos esfuerzos, como 
el Banco Interamericano de Desarrollo (BID), a que consideren 
brindar apoyo a estos proyectos de respuesta a incidentes. Al final, 
los CSIRT limitaran las perdidas que le causara la delincuencia 
cibernetica a la economia local y pueden ser una fuerza muy 
importante para el bienestar de una comunidad en desarrollo. 
Animamos a que estas organizaciones comprendan bien el tipo 
de servicios que son verdaderamente valiosos, como el apoyo a la 
capacidad central de respuesta a incidentes, en lugar de respaldar 
gestiones mas costosas y menos eficaces como la vigilancia a gran 
escala de redes de usuarios finales. El FIRST espera contribuir a 
estas valoraciones a traves de la publicacion de nuestra lista de 
servicios del CSIRT actualizada a finales de 2015. 


Conclusion 

La comunidad de respuesta a incidentes esta experimentando 
cambios significativos debido a los cambios en los tipos y 
complejidad de los ataques que necesita combatir. En las 
Americas, no es muy uniforme la madurez de sus capacidades 
y hay necesidad de mejoras. Este documento describe una serie 
de areas centrales clave para los gobiernos de la region y espera 
informar como se encuentra actualmente la comunidad en el 
proceso de abordarlas y donde hay necesidad de asistencia. 
Identifica como los gobiernos pueden beneficiar mejor a la 
comunidad mediante la identificacion de brechas y la motivacion 
de mecanismos existentes para mejorar su competencia o anadir 
servicios y objetivos adicionales para satisfacer las necesidades 
de seguridad estrategica de sus economias. ■ 
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El estado actual de la legislacion 
sobre el delito cibernetico 
en America Latina y el Caribe: 
algunas observaciones 

CoE | Consejo de Europa 

Alexander Seger 1 


Marco legal sobre el delito cibernetico 
y la evidencia electronical £que se necesita? 

La efectividad de la justicia penal es parte esencial de una 
estrategia de seguridad cibernetica. Esto comprende la 
investigacion, la fiscalizacion y la adjudication de delitos en 
contra y por medio de datos y sistemas informaticos, al igual 
que la obtencion de evidencia electronica relacionada con 
cualquier delito, para propositos del proceso penal. La naturaleza 
transnacional del delito cibernetico y en particular la volatilidad 
de la evidencia electronica implican que la justicia penal no 
puede ser efectiva sin una cooperacion internacional eficiente. 

La legislacion integral, que incluye el derecho sustantivo (la 
conducta a ser definida como delito) y el derecho procesal 
(los poderes investigativos para la aplicacion de la ley), es 
fundamental para que tenga lugar la respuesta de la justicia 
penal. Tal legislacion debe cumplir con varios requisitos: 

• Debe ser lo suficientemente neutral (tecnologicamente) 
como para responder a la evolucion constante del crimen y 
la tecnologla, ya que de no ser asf corre el peligro de volverse 
obsoleta para cuando entre en vigor. 

• Los poderes para la aplicacion de la ley deben estar sujetos 
a salvaguardias con el fin de garantizar el cumplimiento de 
los requerimientos del Estado de derecho y de los derechos 
humanos. 

• Debe operar con suficiente armonla o por lo menos ser 
compatible con las leyes de otros pai'ses para permitir la 
cooperacion internacional; por ejemplo, el cumplimiento con 
la condicion de la doble criminalidad. 

A traves del Convenio de Budapest sobre el Delito Cibernetico 2 
existe una directriz internacional, tambien ampliamente 


utilizada en las Americas, que ayuda a los palses a cumplir 
estos requerimientos. 

En referencia a la ley sustantiva, requiere que las partes penalicen 
el acceso ilicito, la interceptacion ilegal, la interferencia de 
datos, la interferencia de sistemas, el uso indebido de aparatos, 
la falsificacion informatica, el fraude informatico, la pornograffa 
infantil y delitos relativos a las infracciones en materia de 
derechos de autor y derechos relacionados. 

Cabe destacar que estas disposiciones por si solas o en 
combinacion todavla se aplican para la generalidad de lo que 
constituye el delito cibernetico, aim hoy, catorce anos despues 
de la adopcion del Convenio, dado que han sido formuladas de 
manera neutral desde el punto de vista tecnologico. Las Notas 
Gufa adoptadas por el Comite del Convenio sobre el Delito 
Cibernetico muestran como diversas disposiciones pueden ser 
utilizadas para tratar con las redes de bots, Ataques Distribuidos 
de Denegacion de Servicios (DDos, por sus siglas en ingles) y 
otros fenomenos 3 . 

Por supuesto, un acuerdo internacional siempre representa un 
mlnimo comun denominador y los Estados son libres de decidir 
si van mas alia. No obstante, muchos Estados, inclusive en las 
Americas, a menudo enfrentan oposicion publica al tratar de 
penalizar tipos de conducta adicionales. 

El Convenio de Budapest comprende una variedad de poderes 
especlficos de derecho procesal, tales como ordenes para la busqueda, 
captura, produccion de datos o la interceptacion de comunicaciones, 
asf como el poder para ordenar la rapida conservacion de datos. 
Estos se refieren, de manera importante, a la evidencia electronica 
asociada con cualquier tipo de delito. Deben ser delimitados bajo 
condiciones de Estado de derecho y salvaguardia. 

Para finalizar, este tratado debe garantizar la efectiva 
cooperacion internacional en materia de delito cibernetico y 
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evidencia electronica, mediante La combinacion de La asistencia 
Legal mutua "tradicional" con medios expeditos para conservar 
datos en otro pais, esto ultimo con el soporte de una red de 
puntos de contacto que funcione las 24 horas todos los dlas de 
la semana. De nuevo, el alcance de la cooperacion no se limita 
al delito cibernetico, sino que incluye la cooperacion referente a 
la evidencia electronica que se halla en un sistema informatico 
a proposito de cualquier delito. 

El Convenio de Budapest, por lo tanto, puede servir de lista de 
verificacion para el desarrollo de leyes internas sustantivas 
y procesales relativas al delito cibernetico y la evidencia 
electronica. Tal parece que mas de 130 Estados en el mundo lo 
han usado como directriz de una forma u otra. Sin embargo, el 
Convenio en su totalidad es un documento balanceado, juicioso 
y coherente y debe considerarse preferiblemente como un todo. 

Para los Estados que se convierten en Partes del Convenio, 
el tratado sirve como un marco legal para la cooperacion 
internacional. El Convenio de Budapest esta abierto a la adhesion 
de cualquier Estado que este preparado para implementar sus 
preceptos 4 . En efecto, varios palses de America Latina y el Caribe 
han decidido seguir este camino. 


La situacion en America Latina y el Caribe 

Desde 2004, la OEA -en particular la Reunion de Ministros de 
Justicia o de Fiscales Generales de las Americas (REMJA/OEA) 
y su Grupo de Trabajo en Delito Cibernetico- ha alentado a sus 
miembros a implementar los principios del Convenio de Budapest 
sobre Delito Cibernetico y a considerar su adhesion al tratado 5 . 

Despues de la REMJA VI realizada en la Republica Dominicana 
en 2006, Costa Rica y Mexico solicitaron ingreso, despues de lo 
cual fueron invitados a acceder al mismo. A partir de entonces, 
Argentina, Chile, Colombia, Panama, Republica Dominicana y 
recientemente, tambien Paraguay y Peru han seguido su ejemplo. 
La Republica Dominicana y Panama desde entonces han pasado 
a formar parte del Convenio de Budapest y se espera que otros 
palses completen con prontitud los procedimientos domesticos 
de acceso, similares al procedimiento para ratificar cualquier 
acuerdo internacional. 

Este proceso ha sido acompanado de reformas internas en 
derecho penal. He aqul algunos ejemplos de America Latina. 

En 2013, Republica Dominicana se convirtio en el primer pals 
de America Latina que se adhirio al Convenio de Budapest. La 


Ley 53-07 de 2007 transpuso las disposiciones del tratado al 
derecho interno, no solo en lo que respecta a la ley sustantiva, 
sino tambien a la ley procesal. Lo anterior es una situacion atlpica 
en America Latina, donde se prefiere que los poderes procesales 
sean aplicados a la evidencia electronica por analogla 6 . 

En 2008, Argentina, por medio de la Ley 26.388, reformo la ley 
sustantiva penal en consonancia con el Convenio de Budapest. 
En relacion con los poderes procesales, este Estado parece 
enfrentar ciertas dificultades. Aparte del hecho de que Argentina 
es una federacion donde la ley procesal es primordialmente 
materia de cada provincia, las reglas generales referentes a la 
evidencia se aplican por analogla a la evidencia electronica. 
Este enfoque crea problemas en la practica. En este pals el 
Congreso esta considerando una reforma exhaustiva del Codigo 
de Procedimiento Penal. Queda por verse hasta que punto 
contendra las disposiciones especlficas necesarias con respecto 
a la evidencia electronica. 

Colombia enmendo el Codigo Penal en 2009 mediante la Ley 
1273 y el Codigo de Procedimiento Penal en 2011 mediante la 
Ley 1453. Por lo anterior la ley sustantiva parece estar en amplia 
armonla con los estandares internacionales, es decir, con el 
Convenio de Budapest. Disposiciones de derecho procesal mas 
especlficas pueden ser necesarias, incluyendo las enfocadas a 
la rapida conservacion de datos. 

Costa Rica habla introducido resoluciones especlficas referentes 
al delito cibernetico a traves de varias enmiendas al Codigo 
Penal desde 1999, y mas recientemente por medio de la Ley 
9048 (noviembre 2012), la Ley 9135 (abril 2013) y la Ley 9177 
(noviembre 2013). Adicionalmente, se aplican leyes especiales, 
por ejemplo, si los delitos involucran los computadores de 
la administracion de impuestos o de la aduana. La Ley penal 
sustantiva parece estar en gran medida acorde con el Convenio de 
Budapest. Una ley complementaria sobre el acceso al Convenio 
ha sido sometida al Parlamento. 

En Mexico las enmiendas a las leyes sustantivas y procesales 
estan a punto de concluir, lo cual permitira a este pals completar 
el acceso al Convenio de Budapest sobre el Delito Cibernetico. 
Se logro amplio consenso entre los principales actores acerca 
de la necesidad de estas reformas mediante una conferencia en 
Ciudad de Mexico del 31 de marzo al 2 de abril de 2014. Este 
evento congrego a los poderes Ejecutivo, Legislativo y Judicial 
del pals, asl como a las autoridades en proteccion de datos, 
organizaciones de la sociedad civil y la industria. Varios palses 
de America Latina participaron y poco despues de terminada la 
reunion, Paraguay y Peru solicitaron el ingreso al Convenio de 
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Budapest. Este ejemplo subraya La necesidad de buscar amplio 
consenso at emprender reformas legislativas. 

En Paraguay, La Ley 4439 de 2011 enmendo el Codigo Penal, el 
cual ahora incluye la mayorla de las disposiciones del Convenio 
de Budapest. Se ha establecido un grupo de trabajo para preparar 
reformas de derecho procesal. 

En octubre de 2013, Peru habla aprobado la Ley 30096 sobre 
Delitos Informaticos, encontrando oposicion publica respecto a 
algunas de sus partes, debido a lo cual fue enmendada por la Ley 
30171 de abril de 2014. Con esta medida, la ley penal sustantiva 
se encuentra ahora alineada en gran parte con el Convenio de 
Budapest. Las herramientas especlficas del derecho procesal para 
manejar la evidencia electronica no estan disponibles todavla 
y se utilizan otras disposiciones por analogia. 


El Convenio de Budapest, por lo tanto, 
puede servir de lista de verificacion 
para el desarrollo de leyes internas 
sustantivas y procesales relativas 
al delito cibernetico y la evidencia 
electronica. 


En muchos palses del Caribe se han emprendido tambien reformas 
legales o estan en curso. Algunos de ellos han usado la Ley Modelo 
del Commonwealth (2002). Barbados es un ejemplo; la Ley 2005-04 
referente al Uso Indebido Informatico introdujo un marco legal 
bastante completo ya en 2005, en relacion con el delito cibernetico 
y la evidencia electronica, incluyendo poderes de derecho procesal. 
Dado que la Ley Modelo del Commonwealth de 2002 se basaba 
tambien en el Convenio de Budapest, el Artlculo sobre Uso Indebido 
Informatico de Barbados parece estar en amplia consonancia con 
los estandares internacionales. 

Actualmente en Dominica, varios proyectos de ley estan 
en discusion, entre ellos el proyecto de ley sobre delitos 
electronicos. Aparentemente, ahora se le esta haciendo frente 
a las inconsistencias, brechas y amenazas encontradas en un 
proyecto anterior. 


Al parecer, otros palses del Caribe estan encontrando problemas 
similares. Una de las razones puede ser la dependencia de "modelos" 
o "directrices" 7 que no han sido sometidos a prueba. 


Conclusiones 

La mayorla de los Estados de America Latina y el Caribe estan 
comprometidos con un proceso de reforma legal para enfrentar 
el desaflo que supone el delito cibernetico por medio de medidas 
efectivas de justicia penal. 

La OEA a traves de REMJA ha recomendado por mas de diez anos 
que sus Estados miembros utilicen el Convenio de Budapest sobre 
el Delito Cibernetico como una directriz. El supuesto subyacente 
es que la legislacion basada en este tratado se ha sintonizado lo 
suficiente con los estandares internacionales como para permitir 
la efectiva cooperacion internacional. 

El Convenio de Budapest quedo abierto para su firma en 2001, 
pero sigue siendo de gran relevancia. El Comite del Convenio 
sobre el Delito Cibernetico (www.coe.int/tcy), compuesto por los 
Estados del Convenio de Budapest -incluyendo ahora la Republica 
Dominicana y Panama- evalua la implementacidn del tratado por 
las Partes, prepara Notas Gufa para abordar nuevos fenomenos y 
puede tambien preparar instrumentos legales adicionales, tales 
como protocolos vinculantes. El Convenio y el trabajo del Comite 
reciben el apoyo de programas de formacion de capacidad (www. 
coe.int/cybercrime). Este triangulo de estandares, seguimiento 
y formacion de capacidad crea un proceso dinamico. 

Las disposiciones de este tratado son diflcilmente controversiales. 
Por consiguiente, es menos probable que su transposicion a la 
ley interna encuentre oposicion si dichas disposiciones se siguen 
correctamente y con las debidas salvaguardias. Varios palses de 
America Latina y el Caribe han enfrentado resistencia publica 
importante al tratar de introducir poderes de derecho procesal 
y delitos mas alia de la convencion. 

Muchos estados latinoamericanos han logrado adoptar 
disposiciones de derecho penal sustantivo, basandose en gran 
medida en este tratado. El desaflo principal de la region parece 
ser la adopcion de poderes especlficos del derecho procesal. 
Mientras que los codigos de procedimiento penal tienden a ser 
mas bien modernos, la aplicacion por analogia de disposiciones 
que funcionan bien en el mundo flsico o la dependencia del 
principio de libertad probatoria no son suficientes para abordar 
los desaflos especlficos de la evidencia electronica. 
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La busqueda y captura de datos y computadores o La 
interceptacion de comunicaciones para propositos de 
justicia penal representan una interferencia con Los derechos 
fundamentales de los individuos. Tal interferencia debe basarse 
en disposiciones legates especlficas. La adopcion de poderes de 
derecho procesal, tales como los previstos por los Artlculos 16 a 21 
del Convenio de Budapest sujetos a condiciones y salvaguardias 
ayudaran en el cumplimiento de los requerimientos del Estado 
de derecho y de los derechos humanos. 

En el Caribe, la adopcion de poderes de derecho procesal como 
tal parece representar un inconveniente menor. Los problemas 
parecen deberse a que los estandares internacionales no siempre 
se siguen cuando se elaboran las leyes. A veces esto conduce 
a inconsistencias, brechas, extralimitacion y amenazas a los 
derechos humanos y al Estado de derecho. 

Como se indico al principio, la legislacion integral es el 
fundamento necesario para que la justicia penal de una respuesta 
efectiva a los desaflos planteados por el delito cibernetico y la 
evidencia electronica. Una gran variedad de medidas adicionales 
para garantizar la aplicacion real de las leyes y la cooperacion 
internacional eficiente seran necesarias, incluyendo unidades 
especializadas en el delito cibernetico, de acuerdo tambien con 
las recomendaciones del Grupo de Trabajo en Delito Cibernetico 
de las REMJA/OEA 8 . Los fiscales especializados en Argentina 
(Buenos Aires), Brasil, Chile o Paraguay parecen ser ejemplos 
de buenas practicas. 

En conclusion, las recomendaciones de las REMJA/OEA respecto 
de la reforma de la ley penal relativa al delito cibernetico y la 
evidencia electronica que datan de 2004 hoy en gran medida 
siguen vigentes. ■ 
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del Comite de las Partes en la Convencion de 
Budapest sobre Delincuencia Cibernetica. Antes 
de octubre de 2011, Seger dirigio la Division 
de Delitos Economicos, donde se ocupo de 
los programas de cooperacion del Consejo de 
Europa contra el delito cibernetico, la corrupcion 
y el lavado de dinero. De 1989 a 1998 estuvo 
vinculado con lo que ahora es la Oficina de 
Naciones Unidas contra la Droga y el Delito en 
Viena, Austria, en Laos (Jefe de la Oficina) y en 
Pakistan (Subdirector de la Oficina Regional 
para Afganistan, Iran y Pakistan) y consultor 
para la Cooperacion Tecnica Alemana (GTZ) en 
materia de control de drogas. Seger es aleman y 
tiene un doctorado en ciencia polftica, derecho y 
antropologia social, ademas de haber realizado 
estudios en Heidelberg, Burdeos y Bonn. 


1. Secretario Ejecutivo del Comite del Convenio sobre el Delito 
Cibernetico, Consejo de Europa, Estrasburgo, Francia. Las 
opiniones aquf expresadas no necesariamente reflejan la 
posicion oficial del Consejo de Europa o de los Paises Partes 
del Convenio de Budapest sobre el Delito Cibernetico. 

2. http://conventions.coe.int/T reaty/Commun/QueVoulezVous. 
asp?NT=185&CM=8&DF=EtCL=ENG 

3. http://www.coe. int/t/dghl/cooperation/economiccrime/ 
Source/Cybercrime/TCY/Guidance_Notes/TCY(2013)29rev_ 
GN7o20compilation_v3.pdf 

4. Estados que participaron en la negociacion del Convenio 
(Estados miembros del Consejo de Europa, Canada, Japon, 
Sur de Africa y EE.UU.) pueden firmarlo y ratificarlo. 
Cualquier otro Estado puede convertirse en pais firmante 
mediante el acceso. El resultado es el mismo. 

5. http://www.oas.org/juridico/english/remjaV_recom.pdf 
http://www.oas.org/juridico/english/moj_vi_recorn_en.pdf 
http://www.oas.org/en/sla/dlc/remja/pdf/recomm_IX.pdf 
http://www.oas.org/juridico/english/cyber_experts.htm 

6. El Proyecto de Ley 4055 de Guatemala tambien comprende 
poderes procesales inspirados en el Convenio de Budapest 
aunque su adopcion sigue pendiente. 

7. En diciembre de 2014 el Comite del Convenio sobre Delito 
Cibernetico decidio "senalar los riesgos e inquietudes 
relacionados con las llamadas "leyes-modelo" sobre delito 
cibernetico preparadas y diseminadas por diferentes 
organizaciones". http://www.coe.int/t/dghl/cooperation/ 
economiccrime/Source/Cybercrime/TCY/2014/T- 
CY(2014)22_Plenl2AbrRep_V5provisional.pdf 

Ver tambien el informe sobre el documento de discusion 
relacionado: http://www.coe.int/t/dghl/cooperation/ 
economiccrime/Source/Cybercrime/TCY/2014/3021_model_ 
law_study_vl5.pdf 

8. http://www.oas.org/juridico/PDFs/Vlllcyb_recom_en.pdf 
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Economi'a digital y seguridad 
en America Latina y el Caribe 


wef | Foro Economico Mundial 

Consejo sobre La Agenda Global en Seguridad Cibernetica 


America Latina, el Caribe y el mundo cibernetico 

En el lapso de unas pocas decadas, Internet, tambien conocido 
como el ciberespacio, ha dado un salto de ser una plataforma 
desconocida, utilizada casi exclusivamente por academicos 
y conocedores de tecnologfa, a convertirse en una red de 
infraestructuras crfticas, compitiendo en importancia con la 
energfa o el agua, y presente en casi todos los aspectos de 
nuestra vida cotidiana. America Latina y el Caribe tambien han 
participado en esta transformacion cibernetica, y aunque la region 
esta lejos de ser Ifder de la revolucion digital, ha logrado avances 
significativos en los ultimos anos. En el Networked Readiness 
Index (NRI) de 2015 del Foro Economico Mundial, un fndice que 
mide la conectividad de las tecnologfas de la informacion y la 
comunicacion (TIC) a traves de una serie de factores que van 
desde la gobernanza, al uso, al impacto economico, 14 de los 
23 paises de la region incluidos en el estudio aumentaron sus 
puntajes. Hay muchos ejemplos de gobiernos regionales que 
han aceptado los retos y oportunidades en el ciberespacio. En 
2012, Costa Rica introdujo penas de delincuencia cibernetica 
al codigo penal de la nacion, y se establecio un organismo 
especializado para responder a las amenazas a la seguridad 
cibernetica (y desde entonces ha subido 9 puntos en la NRI). 
Peru tambien aprobo recientemente unas leyes que incluyeron 
la delincuencia cibernetica en el codigo penal nacional, asf como 
una legislacion que establece normas legales de delincuencia 
cibernetica y proteccion de datos (que le ha significado al 
Peru subir 16 lugares en el NRI). La infraestructura regional 
cibernetica tambien se ha mejorado en la region. Bolivia mas 
que duplico su cobertura de la red movil entre 2007 y 2015, y 
le signified un aumento en la clasificacion NRI en esta medida, 
desde el puesto 128 en 2012 a ocupar el primer puesto en 
2015. En solicitudes de patentes TIC per capita del Tratado de 
Cooperacion de Patentes, Barbados paso de un puesto 34 en 
2012, que ya era respetable, a ubicarse en el sexto lugar en 2015, 
justo por delante de Suiza, Estados Unidos, Holanda y Singapur, 
todos los pesos pesados de la tecnologfa. Sin embargo, America 


Latina y el Caribe deben seguir priorizando el desarrollo del 
ciberespacio a fin de no quedarse por detras de otras regiones 
del mundo en su explotacion de oportunidades economicas, asf 
como abordar los desaffos de la seguridad cibernetica. Varios 
factores, incluyendo entornos politicos y reglamentarios, el nivel 
de habilidad de la fuerza laboral y el desarrollo de sistemas de 
innovacion, ponen a muchos paises de America Latina y el Caribe 
detras de naciones en niveles similares de desarrollo en el NRI. 
Brasil, la mayor economfa de la region, se ubica en el puesto 84 
en disposicion en red a la par con la mayorfa de otras economfas 
latinoamericanas medianas y grandes; no le va mucho mejor y 
hasta alcanza posiciones aun mas bajas 1 . La clave para permitir 
el futuro desarrollo en America Latina y el Caribe es entender 
las tendencias en el ciberespacio y tener soluciones para lograr 
un impacto potencial en la region. 


Margen de mejora 

El estado actual de la economi'a digital en America Latina y el 
Caribe deja mucho que desear; se caracteriza por un retraso 
general en calidad, por detras de otras partes del mundo y con 
grandes variaciones en la region. De acuerdo con el NRI, el 65% 
de America Latina y el Caribe se ubica en la mitad mas baja de 
la clasificacion, en comparacion con el 56% de Asia, el 52% de 
Oriente Medio y el Norte de Africa y el 22% de Europa del Este. 
El mejor clasificado de los paises de la region, Chile (puesto 38), 
esta casi 100 puestos por delante del pais clasificado como el mas 
bajo, Haiti (puesto 137) 2 . Segun el Centro de Estudios Estrategicos 
e Internacionales, America Latina tiene 300 millones de usuarios 
de Internet, mas de la mitad de la poblacion de la region 3 . Esta 
cifra, sin embargo, oculta grandes disparidades en adopcion 
dentro de la region. Segun el Informe Global de Tecnologfa de 
Informacion de 2015, la mayorfa de los paises de la region se 
ubican en la mitad inferior del porcentaje de ciudadanos que 
son usuarios de Internet. Incluso las grandes economfas, como 


OBSERVATORIO DE LA 

CIBERSEGURIDAD 

EN AMERICA LATINA Y EL CARIBE 


25 


Mexico, Brasil, Argentina, Chile y Colombia, estan en la mitad 
del grupo, ya que solo el 43,5% de los mexicanos son usuarios de 
Internet y solo el 30,7% de los hogares tienen acceso a Internet. 
Es aim inferior la participacion de gran parte de America Central 
en el uso de Internet y en tasas de acceso. La disponibilidad 
de nuevas tecnologlas tambien esta rezagada con respecto a 
muchos otros palses que estan en el mismo nivel de desarrollo, 
donde muchas de las grandes economlas estan en o por debajo 
de la media, y donde algunos palses llegan casi al final de la 
clasificacion. Ademas, mientras que las tasas de suscripcion de 
telefonla movil son mas altas que las de Estados Unidos, con la 
excepcion de Mexico, Guyana y Haiti, la mayor parte de la region 
se ubica en la mitad mas baja en cuanto a las tasas de suscripcion 
de banda ancha movil de NRI. Sin embargo, y como reflejo de 
una tendencia de los palses de bajos y medianos ingresos que 
prefieren no tener conexiones de Internet fijas sino mas bien 
contar con Internet movil, las tasas de suscripcion de banda 
ancha movil son mas altas que las suscripciones fijas, y siguen 
creciendo. Algunos palses ya han adoptado avidamente la Internet 
movil. Costa Rica, por ejemplo, tiene 9,7 suscripciones de banda 
ancha fija por cada 100 habitantes, mientras que cuenta con 


Con todos estos acontecimientos, 
los riesgos ciberneticos son cada 
vez mas preocupantes y se estan 
convirtiendo en un factor de mayores 
consideraciones en seguridad y 
formulacion de politicas economicas. 


72 suscripciones de banda ancha movil por cada 100 usuarios. 

Con todos estos acontecimientos, los riesgos ciberneticos son 
cada vez mas preocupantes y se estan convirtiendo en un factor 
de mayores consideraciones en seguridad y formulacion de 
politicas economicas. La conciencia de seguridad cibernetica ha 
ido creciendo a medida que se ha reconocido que las amenazas 
y vulnerabilidades tienen el potencial de frenar la innovacion 
y el avance de la economla basada en Internet, a la vez que 
ponen en riesgo a los individuos y las organizaciones. Si bien 


casi todos los palses de la region reconocen la necesidad de 
contar con una estrategia de seguridad cibernetica, muy pocos 
han avanzado mas alia de la etapa de tener un esquema. Solo 
los palses mas grandes y mas ricos de la region cuentan con 
distintas organizaciones dedicadas a la seguridad cibernetica e 
incluso donde estan presentes tales organizaciones, la disposicion 
general cibernetica todavla permanece impedida por una falta de 
coordinacion entre los sectores y organismos. El sector privado 
ha superado al gobierno, en general, en su reconocimiento de 
la importancia de la seguridad cibernetica, mientras que la 
conciencia entre el publico varla en toda la region. 

La conciencia seguramente aumentara a medida que mas y mas 
servicios gubernamentales se pasen a estar en llnea y se generen 
mas conversaciones sobre las implicaciones de la seguridad. Esta 
conversacion ya esta en marcha en gran parte de la region en 
lo que se refiere al comercio electronico. Las cuestiones de la 
privacidad en Internet han dado lugar a un mosaico de normas 
y diferentes niveles de proteccion en toda la region 4 . 

Parte del problema con respecto a la escasez de concienciacion 
se deriva de la falta de infraestructura educativa en seguridad 
cibernetica. Pocos palses ofrecen programas de educacion a 
nivel posgrado para la seguridad cibernetica, y los programas de 
formacion profesional son mas comunes, pero varlan en calidad. 
Ademas, tienen el problema de la difusion de habilidades y la 
infraestructura de formacion. Sin embargo, algo que resaltar 
es la cuestion legal y reglamentaria en seguridad cibernetica. 
Si bien existe una amplia variacion en la cantidad y calidad de 
legislacion cibernetica, a la region le va bien en temas sobre 
los que esta interesado el publico con respecto a la seguridad 
en Internet o sea, privacidad, proteccion de datos y derechos 
humanos. Las leyes y el procedimiento penal de delincuencia 
cibernetica estan bien desarrollados en la region tambien. Sin 
embargo, una importante area con margen de mejora es la 
capacidad de aprovechar las habilidades ciberneticas en la 
aplicacion de la ley, como se indica en los datos proporcionados 
por los palses de America Latina y el Caribe para este estudio. 


Estrategias para el exito cibernetico 

La diversidad de problemas que enfrentan la seguridad cibernetica 
y la economla digital requieren un conjunto de respuestas 
innovadoras. El Informe Global de Tecnologla de la Informacion 
pone de relieve varias politicas gubernamentales sencillas que 
pueden ayudar a los residentes a aumentar su acceso a Internet. 
Un enfoque es aumentar el uso gubernamental de las TIC como 
parte de la polltica estatal. Esto aumenta la competitividad en el 
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mercado de prestacion de servicios, lo que los obliga a innovar 
mientras simultaneamente socializan La uti Lidad de Internet 
entre los que deben utilizarla para interactuar con su gobierno. 
EL informe tambien recomienda apoyar a Las empresas LocaLes 
de tecnoLogias de La informacion, una practica que no soLo 
fomenta organicamente eL desarroLLo en TIC, sino que tambien 
desarroLLa una industria que entiende La cuLtura LocaL mejor, Lo 
que en s( mismo aceLera La adopcion. En generaL, Los resuLtados 
indican que aLgunos eLementos de exito comunes que respaLdan 
La existencia de un gobierno electronico eficaz y La mejora de 
Las economi'as son: eL apoyo politico por parte de Los mas aLtos 
niveLes de autoridad, capital humano bien informado y bien 
situado (personas que no solo entienden el campo, sino que se 
pueden conectar con Las autoridades adecuadas y comunicar 
eficazmente sus necesidades) y Los recursos financieros (asf como 
La voluntad de dedicar especificamente esos recursos hacia el 
desarroLLo de Las TIC) 5 . 

En un informe de 2015, La Institucion Brookings recomendo otras 
mejores practicas para mejorar La calidad de La economia digital 
en formas que pueden implementarse facilmente en America 
Latina y el Caribe. Esto incLuye soluciones intuitivas como La 
reduccion de costos, mejora de La eficiencia de La red y ampliacibn 
de La infraestructura digital. Otras soluciones son mas novedosas, 
como eL suministro de contenidos diversos y el fomento del 
multilinguismo. Brookings incluso sugiere simplemente bajar o 
eliminar Los impuestos sobre Los servicios moviles, de acuerdo 
con un estudio de GSMA 6 que encontro que una disminucion del 
1% de La carga fiscal conduce a un aumento de La penetracion de 
banda ancha de 1,8%, y un aumento del crecimiento economico 
del 0,7%, Lo que demuestra que incluso medidas relativamente 
simples que no requieren grandes inversiones en infraestructuras 
todavfa pueden producir resuLtados 7 . 

En el frente de La seguridad cibernetica, estan surgiendo varias 
tendencias importantes que podrian reducir La vulnerabilidad 
presente en el sistema y preparar a America Latina y eL Caribe para 
el futuro. Una tendencia en seguridad cibernetica hoy es La idea de 
mejorar La higiene cibernetica, o sea, ensenarles tecnicas basicas 
de prevencion a Las personas y organizaciones para defenderse de 
ataques ciberneticos de bajo nivel (actualmente La gran mayoria) 
y permitir que los recursos se concentren en grandes ataques o 
se desarrollen estrategias de seguridad cibernetica nacional. La 
ventaja de La higiene cibernetica es que puede ser concebida de 
forma barata y difundida ampliamente, y que a menudo puede 
ser un poco mas que una Lista de comportamientos o una sesion 
basica de entrenamiento. 

La eficacia de la higiene cibernetica puede ser mejorada por 
otro desarroLLo importante: eL fomento de La realineacion de 


Los incentivos de La industria para promover el pensamiento de 
primero La seguridad para Los vendedores de tecnologia. Se trata 
de guiar a Los vendedores hacia La idea de que La seguridad de sus 
productos es igual de prioritaria a La velocidad o La calidad grafica. 
Para poner en marcha este concepto, se estan manejando ideas 
como Las siguientes: incentivar a Los vendedores con una especie 
de ganancia adicional al contrato (como un pago al desarrollador 
de software de una bonificacion si pasa un perfodo de tiempo 
definido sin que haya incidentes de seguridad cibernetica); o 
impuLsar La demanda desde el Lado del cliente con algun tipo de 
sello de aprobacion, similar a La designacion de "sin crueldad" en 
Los alimentos. Una vez mas, La inversion publica y La participacion 
en Las industrias de TIC locales podrian ser el catalizador que 
se ocupa de este problema tambien. Los gobiernos suelen ser 
algunos de Los mayores clientes de aLgunos proveedores, y sus 
demandas de contar con productos mas seguros podrian forzar 


Los gobiernos suelen ser algunos 
de los mayores clientes de algunos 
proveedores, y sus demandas de contar 
con productos mas seguros podrian 
forzar cambios en los productos 
que se van repartiendo y que se venden 
a consumidores individuales 
y otras organizaciones. 

cambios en Los productos que se van repartiendo y que se venden 
a consumidores individuates y otras organizaciones. 

Muchos en La comunidad de seguridad cibernetica tambien 
abogan por nuevas normas para La colaboracion entre Las partes 
interesadas. Estas normas de colaboracion no solo Les darian a 
Los paises, industrias y otros actores reglas de enfrentamiento 
con eL ciberespacio, sino que tambien serian un marco para 
mejorar La potencialmente paralizante falta de coordinacion 
entre, y at interior de, Las naciones en caso de un evento de 
seguridad cibernetica de gran envergadura. Varios organismos 
internacionales se estan inclinando hacia contar con normas mas 
concretas de colaboracion en materia de seguridad cibernetica. 
Esta es un area que esta madura para La cooperacion regional, 
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si no mundial, para coordinar mejor las pollticas e identificar las 
mejores practicas, un proceso que los palses de America Latina 
y el Caribe estan bien posicionados para liderar. 

En todos estos frentes, la cooperacion publico-privada es esencial. 
La participacion de las empresas TIC locales, asf como la de 
grandes proveedores internacionales y las organizaciones de la 
sociedad civil, es la mejor manera de descubrir y compartir las 
mejores practicas, y cooperar para disenar las soluciones mas 
eficaces y eficientes. La naturaleza interdependiente del mundo 
hiper conectado exige la colaboracion. El compromiso del Foro 
Economico Mundial con los principios de resiliencia cibernetica es 
un ejemplo de un marco que facilita la cooperacion entre varios 
grupos en la seguridad cibernetica. Los principios tienen como 
objetivo reconocer los problemas, desarrollar soluciones practicas 
y eficaces, y animar a otros grupos, en particular los clientes y 
proveedores, para hacer compromisos similares hacia la mejora 
de la seguridad cibernetica. Este tipo de estrategia multisectorial 
entre multiples partes interesadas debera ser aplicada por America 
Latina y el Caribe, y de hecho todos los demas palses, si pretenden 
construir entornos de seguridad cibernetica beneficiosa. 


Elcamino a seguir 

Es mas facil decir que se creara una esquina eficiente, prospera y 
segura dentro del ciberespacio que hacerla, e incluso las naciones 
mejor preparadas estan muy en el llmite de sus actualizaciones 
como para sentirse seguras. Deloitte estima que el acceso 
mejorado a Internet en el mundo en desarrollo dara lugar a 
aumentos de la productividad de mas del 25%, ganancias de 
crecimiento del producto interno bruto (PIB) de mas del 72%, y 
sacara a 160 millones de personas de la pobreza 8 . Los beneficios 
cosechados por una integracion mas amplia en el ciberespacio no 
solo tendran impacto en la billetera, sino en todos los aspectos 
de la vida, incluyendo la educacion, la salud, la inclusion y los 
derechos humanos 9 . 

Estas ganancias se basan en la confianza en el ecosistema digital. 
Ningun pals, grande o pequeno, esta inmune a los ataques 
ciberneticos, que provienen de actores estatales y no estatales 
en un paisaje tecnologico en constante evolucion. 

El mundo en red esta alimentando el crecimiento economico y la 
mejora de los niveles de vida. Tambien esta creando amenazas 
que eran inimaginables hace apenas una generacion. America 
Latina y el Caribe tienen mucho trabajo por delante. El cerrar 
las brechas entre palses y desarrollar la region sera una tarea 
formidable. Afortunadamente, han demostrado que estan a la 


altura del desaflo y ya estan utilizando el conocimiento existente 
para mejorar la capacidad y seguridad ciberneticas. La region 
se encuentra en una buena posicion para aprender no solo de 
las mejores practicas, sino para ayudar a crear otras nuevas, y 
realizar todo su potencial como participante en la economla 
digital mundial. ■ 
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1. Dutta, S., Geiger, T., h Lanvin, B. (Eds.). (2015). The Global 
Information Technology Report (GITR) 2015. Ginebra: World 
Economic Forum and INSEAD. 

2. Fuente: Informe Global sobre Tecnologfa de la Informacion 
del Foro Economico Mundial. 

3. Meacham, Carl. "Are Internet Policy and Technology the 
Keys to Latin America's Future?". Center for Strategic and 
International Studies. 2 de junio de 2015. http://csis.org/ 
publication/are-internet-policy-and-technology-keys-latin- 
americas-future. 

4. Fuente: Informe OEA-BID. 

5. Fuente: Informe Global sobre Tecnologfa de la Informacion 
del Foro Economico Mundial. 
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7. West, Darrell. "Digital Divide: Improving Internet Access 
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Desarrollo sostenible y seguro 
un marco para las sociedades 
conectadas resilientes 


POTOMAC | Instituto Potomac 

Melissa Hathaway y Francesca Spidalieri 


La penetracion de Internet y la adopcion mas profunda de las 
tecnologlas de la informacion y la comunicacion (TIC) estan 
cambiando muchos aspectos de las economfas, los gobiernos y 
las sociedades del mundo. Todo se ve afectado, desde la forma 
como se producen, distribuyen y consumen los bienes y servicios, 
o como los gobiernos prestan servicios y difunden informacion, 
hasta como las empresas y los ciudadanos interaction y participan 
en el contrato social. No se pueden ignorar las oportunidades que 
se asocian a quedar conectados y participando en la economla 
de Internet y el potencial impacto economico. 

Dos tercios de los usuarios de Internet hoy en dla viven en el 
mundo en desarrollo y estan impulsando la mayor parte del 
crecimiento economico mundial. McKinsey estima que en 2011 
la contribucion global de Internet represento casi el 3% del 
producto interno bruto (PIB) mundial 1 y el acceso a Internet 
esta creciendo casi cuatro veces mas rapidamente en los paises 
en desarrollo que en los desarrollados. Los Estados Miembros 
de la OEA se han beneficiado de manera importante de la 
penetracion de las TIC y del aumento de la conectividad, que les 
ha significado abrir nuevas oportunidades economicas y sociales 
para las poblaciones urbanas y rurales y se han convertido en 
la plataforma de distribucion mas grande para la prestacion de 
servicios publicos y privados, incluyendo los servicios bancarios, 
la educacion y la atencion en salud a millones de personas 
desatendidas 2 . Aunque todavla existe una gran disparidad en la 
penetracion de Internet entre los palses desarrollados y en vfas 
de desarrollo, la demanda de servicios con acceso a Internet las 
24 horas del dla, 7 dfas a la semana (estar siempre encendido), a 
gran velocidad y capacidad, esta aumentando exponencialmente 3 . 

No es de extranar, por tanto, que las organizaciones 
internacionales como la OEA, el Banco Mundial, la Union 
Internacional de Telecomunicaciones (UIT) y el Banco 
Interamericano de Desarrollo (BID), han lanzado y estan 
financiando proyectos para cerrar la brecha de la conectividad 
y aprovechar los beneficios derivados de la utilizacion de 


las TIC para estimular el crecimiento economico, mejorar la 
prestacion y la capacidad de servicios, impulsar las ganancias 
de la productividad y la innovacion y para promover el buen 
gobierno. Muchos de sus informes y publicaciones alaban el 
papel que desempehan las TIC en la promocion de estrategias 
de desarrollo de estos paises y en la responsabilidad de gobierno 
y proporcionan indicadores fuertes para apoyar una mayor 
conectividad a Internet y ecosistemas digitales mas extensos. 
El Banco Mundial, por ejemplo, estima que cuando el 10% de 
la poblacion en paises en desarrollo esta conectado a Internet, 
el PIB del pals crece en un 1% a un 2% 4 , mientras que el Foro 
Economico Mundial informo que incluso duplicar el uso de datos 
de banda ancha movil puede conducir a un aumento del 0,5% 
del crecimiento del PIB 5 . Al mismo tiempo, sin embargo, el poder 
transformador de las TIC como un catalizador para el crecimiento 
del PIB y el desarrollo social puede ser socavado facilmente 
si los riesgos de seguridad asociados con la proliferacion de 
infraestructura de las TIC y de aplicaciones de Internet no se 
equilibran adecuadamente con un plan integral de seguridad 
cibernetica y resiliencia 6 . 

Hay dos intereses enfrentados en la realizacion de la promesa y el 
potencial de las TIC y de Internet. En primer lugar, hay una agenda 
digital y una vision economica que promete generar ingresos y 
empleo, proporcionar acceso a los negocios y la informacion, 
aumentar la productividad y la eficiencia, permitir el aprendizaje 
electronico, mejorar las habilidades de la fuerza laboral, facilitar 
las actividades del gobierno y extender la prosperidad mediante 
el crecimiento del PIB y as( reducir la pobreza. Sin embargo, la 
unica manera en que los paises pueden lograr tales resultados 
es si su programa de desarrollo de las TIC es sostenible. 

• Ambientalmente, mediante la mitigacion de los impactos 
ambientales negativos (por ejemplo, emisiones de gases 
de efecto invernadero, generacion de basura electronica, 
degradacion del medio ambiente, etc.) del mayor crecimiento 
de las redes y los dispositivos de las TIC. 
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• En lo economico, al proporcionar un acceso a Internet mas 
asequible, fiable y persistente para todos 7 . 

• En to social, mediante la maximizacion de la contribucion 
potencial de las TIC a la equidad social y la inclusion. 

• En lo politico, al permitir la participacion ciudadana en los 
procesos del gobierno y la toma de decisiones. 

En segundo lugar, se encuentra la seguridad. No es suficiente que 
el aumento de la conectividad a Internet sea sostenible: tambien 
es necesario que dicha conectividad sea segura y resistente. De 
hecho, nuestra dependencia de esta compleja infraestructura 
ha venido con un precio: al conectar tantos aspectos de nuestra 
economla y servicios vitales a Internet, tambien nos hemos 
expuesto a una serie de actividades ciberneticas nefastas que 
pueden socavar la disponibilidad, integridad y resiliencia de 
esta infraestructura central, lo que ha amenazado los beneficios 
economicos y tambien tecnologicos, politicos y sociales de 
Internet. Por ejemplo, varios de los palses del Grupo de los 
20 (G-20) han estimado que estan perdiendo al menos el 1% 
de su PIB debido al delito cibernetico, el robo de propiedad 
intelectualy otras actividades electronicas fraudulentas. Ninguna 
nacion puede darse el lujo de perder ni un 1% de su PIB por 
cuenta de actividades illcitas ciberneticas. A medida que las 
tecnologias informaticas y de comunicaciones se arraigan mas 
en la economla global y a medida que entramos en la era de 
la "Internet de las cosas" (loT, por sus siglas en ingles), seguiran 
aumentando los incentivos para poner en peligro la seguridad 
de estos sistemas. Debemos enfrentar que las amenazas a 
nuestra sociedad conectada estan superando nuestras defensas 
y el crecimiento del PIB se esta erosionando cada dla. En pocas 
palabras, La inseguridad cibernetica es un impuesto al crecimiento 
y los palses deben demostrar un compromiso con la seguridad y 
la resiliencia para preservar la promesa de conexion y realizar 
todo el potencial de la economla de Internet. 

Este entrelazamiento entre infraestructura e Internet es una 
vulnerabilidad estrategica para todas las sociedades conectadas 8 
y hay mucho en juego. El impacto positivo de Internet en los 
palses, comunidades, empresas y ciudadanos por igual solo 
puede sostenerse si el servicio es accesible, disponible, asequible, 
seguro, interoperable, resiliente y estable 9 . Esta es la razon 
por la cual Internet y su propuesta subyacente de valor se han 
convertido en un imperativo de seguridad tanto economico 
como nacional. Los llderes mundiales deben lidiar con el hecho 
de que su infraestructura de Internet y servicios orientados al 
ciudadano son vulnerables a la interferencia y que su dependencia 
economica de Internet no les permitira abandonar el camino 
de adopcion en el que se encuentran 10 . 


La OEA y el BID han centrado muchos de sus esfuerzos en la 
creacion y generacion de una cultura de seguridad cibernetica 
en la region y se han comprometido a trabajar con sus Estados 
Miembros para luchar contra la delincuencia cibernetica, 
fortalecer la resiliencia cibernetica y promover estrategias 
sostenibles de desarrollo de las TIC. En particular, la OEA y el 
BID estan ayudando a los palses de America Latina y el Caribe 
a anticipar y reaccionar ante las nuevas amenazas ciberneticas. 

Desafortunadamente, a la mayorla de las naciones aim les 
falta hacer eso. La mayorla de las estrategias de desarrollo 
defienden los beneficios de la comunicacion de banda ancha 
rapida, asequible y de largo alcance y mayor dependencia de 
los servicios orientados a Internet en terminos de crecimiento 
economico. Pero pocas toman en cuenta igualmente la exposicion 
y los costos de servicios crlticos menos resilientes, interrupcion 
del (de los) servicio(s), el delito electronico, el robo de identidad, 
robo de propiedad intelectual, fraude y otras actividades de 
explotacion de la hiper-conectividad de las TIC en terminos de 
perdidas economicas. Los llderes mundiales deben reconocer 
que el aumento de conectividad a Internet puede llevar a un 
crecimiento economico, pero solo si esa conexion a Internet, 
y la infraestructura de las TIC que la soporta, es segura. Si los 
palses no invierten por igual en la seguridad de su infraestructura 
basica y la resiliencia de sus sistemas, los costos impuestos por 
las actividades ciberneticas nefastas gravaran su crecimiento 
economico 11 . 

Los llderes mundiales pueden aprovechar el poder economico 
de las TIC y al mismo tiempo evitar danos irreversibles a largo 
plazo a la economla, salud, seguridad y la resiliencia de sus palses 
solo si la seguridad juega un papel igualmente importante en 
sus estrategias de desarrollo. Despues pueden aprovechar las 
pollticas, leyes, reglamentos, normas, incentivos de mercado y 
otras iniciativas para proteger el valor de sus inversiones digitales 
y preservar la seguridad de su conectividad. Pueden perseguir 
y financiar iniciativas de seguridad cibernetica que disminuyen 
los riesgos y aumentan la resiliencia. 

El Cyber Readiness Index (CRI), desarrollado por el Instituto 
Potomac, se ocupa de estas cuestiones y proporciona el modelo 
a seguir para los palses 12 . Ayuda a que un pals pueda comprender 
su enredo entre Internet e infraestructura y su consecuente 
vulnerabilidad. Tambien proporciona una base solida sobre la cual 
cada pals puede evaluar su madurez en seguridad cibernetica. 
Identifica siete elementos esenciales donde se puede utilizar 
la seguridad cibernetica para proteger el valor y la integridad 
de las inversiones anteriores en TIC y activar la economla de 
Internet, a saber: la estrategia nacional y la formulacion de 
pollticas; la capacidad de respuesta a incidentes; iniciativas de 


32 


delito electronico y las necesidades de capacidad de las fuerzas 
del orden; iniciativas de compartir informacion; la inversion en 
investigacion y desarrollo (l+D); la diplomacia y el comercio; y la 
capacidad militar y las iniciativas de defensa cibernetica. 

Adoptar un marco de seguridad y conocer el nivel de preparacion 
cibernetica de un pais es ciertamente esencial. El primer paso 
que debe tomar un pais para desarrollar este marco es articular 
una estrategia nacional de seguridad cibernetica valida. Esta 
estrategia debe: describir el problema en terminos economicos; 
identificar la autoridad competente que garantice la correcta 
ejecucion de la estrategia; incluir objetivos especificos, medibles, 
alcanzables, basados en el tiempo y en los resultados del plan 
de implementacion; y reconocer la necesidad de comprometer 
recursos limitados (por ejemplo, voluntad polftica, dinero, tiempo 
y personas) en un entorno competitive para lograr Los resultados 
economicos necesarios. Varios Estados Miembros de la OEA han 
comenzado a disenar este tipo de estrategias para gestionar 
la seguridad cibernetica y han dado pasos importantes en el 
desarrollo de politicas relacionadas con cibernetica, doctrinas, 
marcosjuridicosy la capacidad tecnica. Colombia, en particular, 
ha tenido una polftica nacional para la seguridad cibernetica 
y defensa cibernetica operando durante varios anos (CONPES 
3701) 13 y recientemente ha estado trabajando en una nueva 
estrategia integral de Seguridad Cibernetica Nacional para 
reflejar su compromiso de estar ciberneticamente lista en las 
areas de gobernanza enfocada y liderazgo institucional a nivel 
nacional, con el fortalecimiento de la capacidad de respuesta 
a incidentes y las asociaciones publico-privadas y el desarrollo 
de la conciencia cibernetica y la profundizacion de la educacion 
cibernetica. 

Otros elementos esenciales son la posibilidad de los paises de 
establecer y mantener tanto una capacidad nacional de respuesta 
a incidentes como un mecanismo de intercambio de informacion 
que permita el intercambio de inteligencia procesable entre 
el gobierno y la industria. La mayoria de los paises de America 
Latina y el Caribe ya han establecido y puesto en funcionamiento 
los Equipos de Respuesta ante Emergencias Informaticas (CSIRT, 
por sus siglas en ingles) o capacidades y estan ampliando 
los servicios prestados por estas unidades mas alia de tener 
funciones reactivas, e incluyen servicios proactivos, preventives, 
educativos y de gestion de la seguridad. El establecimiento de 
mecanismos de intercambio de informacion formal, por otro 
lado, sigue siendo un reto importante en la region, aunque la 
mayoria de las autoridades nacionales mantienen lineas abiertas 
y activas de comunicacion y colaboracion con sectores criticos 
y empresas clave. 


El tener una estrategia y compromiso es solo el comienzo. Otros 
aspectos clave para estar listos ciberneticamente incluyen el 
compromiso de un pais de proteger a la sociedad contra el 
delito cibernetico a traves de mecanismos legates y regulatorios 
nacionales e internacionales y la capacidad para luchar contra 
el crimen cibernetico, incluyendo la capacitacion de las fuerzas 
del orden, especialistas forenses, juristas y legisladores. Panama, 
por ejemplo, es miembro de la Convencion de Budapest sobre 
el delito cibernetico y ha trabajado incansablemente para 
actualizar la legislacion nacional para combatir mas eficazmente 
la delincuencia cibernetica y fortalecer la proteccion de datos. 
Ademas, ha establecido una Fiscalia Especial de Delitos contra la 
Propiedad Intelectual y Seguridad de la Informacion, que forma 
parte del Ministerio Publico y una Unidad de Investigacion de 
Delitos Ciberneticos, dependiente de la Direccion de Investigacion 
Judicial, para servir como las agencias lideres para La investigacion 
y el enjuiciamiento de los delitos ciberneticos. 

Los paises tambien deben invertir en investigacion basica y 
aplicada de seguridad cibernetica (innovacion) y financiar 
generosamente las iniciativas de seguridad cibernetica si quieren 
aprovechar las oportunidades que ofrece la economia de Internet, 
mientras que mantienen una fuerte postura de seguridad 
cibernetica. Chile, por ejemplo, ha aprovechado al maximo 
su alta conectividad y ha puesto en marcha varias iniciativas 
para desarrollar su industria de alta tecnologia. El programa 
Start-Up Chile, a cargo de la Agencia de Desarrollo Economico 
de Chile (CORFO) a traves de InnovaChile, esta ayudando a 
transformar a dicho pais en un centro de innovacion y de espiritu 
empresarial en America Latina. Este programa acelerador busca 
atraer empresarios de fase inicial y alto potencial, para arrancar 
sus nuevas empresas en Chile, usandolo como una plataforma 
para luego lanzarse globalmente. Ademas, la Universidad de 
Chile ofrece titulos avanzados en seguridad cibernetica y se 
espera que la comunidad empresaria proporcione conferencias 
y tutorias adicionales. 

Otro elemento clave a menudo pasado por alto es la voluntad 
y la capacidad de los paises de participar diplomaticamente 
o durante las negociaciones comerciales sobre cuestiones 
relacionadas con la cibernetica. Guatemala, por ejemplo, mostro 
una fuerte capacidad diplomatica cibernetica en 2012 al presidir 
el Comite Interamericano contra elTerrorismo de la OEA. El pais 
lidero una Declaracion sobre el Fortalecimiento de la Seguridad 
Cibernetica en las Americas, que dio lugar a su adopcion unanime 
y elevo el reconocimiento de la seguridad y la resiliencia de la 
infraestructura de informacion critica, especialmente para las 
instituciones esenciales para los sectores de seguridad nacional, 
como comunicaciones, energia, finanzas y transported 
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Por ultimo, los Estados estan empezando a aprovechar la capacidad 
de sus fuerzas armadas nacionales y/o agencias de defensa 
relacionadas para defender a su pals cineticamente y proporcionar 
una defensa similar a traves del ciberespacio, en respuesta a las 
amenazas de seguridad cibernetica. Brasil, por ejemplo, ya ha 
desarrollado capacidades avanzadas de defensa cibernetica y, 
recientemente, establecio un Comando de Defesa Cibernetica y 
una Escuela de Defensa Cibernetica Nacional, que contara con 
representantes de las tres fuerzas armadas brasilenas. 

Mientras que la penetracion de Internet y la modernizacion 
de la infraestructura se estan expandiendo y estan madurando 
rapidamente, es esencial que los palses establezcan inicialmente 
un marco para las sociedades resilientes conectadas, incluyendo 
en este la preservacion de la promesa del dividendo TIC que 
es desarrollo sostenible con seguridad. A medida que las 
poblaciones de la region continuan avanzando, creciendo 
y expandiendo sus oportunidades economicas y sociales y 
los palses comienzan a adoptar el Internet de las cosas, se 
vuelve cada vez mas importante abordar el riesgo cibernetico, 
seguridad, resiliencia y exposicion en conjunto con los objetivos 
y el desarrollo sostenibles. Los palses deben indicar que la 
seguridad, la sostenibilidad y la resiliencia son igualmente 
importantes para su programa de crecimiento. Iniciativas de la 
OEA y el BID estan acelerando la capacidad de las naciones de 
America Latina y Caribe de poner en funcionamiento las pollticas, 
planes, leyes y regulaciones para promover el desarrollo y el uso 
de las TIC 15 y estan volviendo prioritaria la seguridad cibernetica 
en su agenda social y de polltica. ■ 
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Marco metodologico 




Sinopsis 

Profesora Sadie Creese, Centro Global de Capacidad sobre Seguridad Cibernetica 

Universidad de Oxford 


La manera en que los Estados-nacion y las regiones abordan 
la capacidad de seguridad cibernetica es esencial para contar 
con una seguridad cibernetica eficaz, eficiente y sostenible. Es 
imperativo que como comunidad internacional aboguemos por 
tener un enfoque integral y holfstico para la construccion de 
capacidad de seguridad cibernetica para fomentar una economla 
digital segura y competitiva, y para obtener los beneficios que la 
participacion en el ciberespacio puede aportarles a las sociedades 
y las personas en todas partes. La OEAy el BID han incorporado 
este enfoque de desarrollo de capacidades al nucleo de nuestra 
cooperacion como miembros de esta comunidad internacional. 

Para que las personas puedan comprender mejor como sera 
una seguridad cibernetica eficaz a traves de la experiencia y 
el aprendizaje del mundo, el Centro, por medio de una amplia 
consulta a 200 expertos internacionales del gobierno, la academia, 
la industria y la comunidad tecnica, ha desarrollado un modelo para 
entender la madurez de las capacidades de seguridad cibernetica. 
El Modelo de Madurez de Capacidad de Seguridad Cibernetica 
(CMM, por sus siglas en ingles) toma en cuenta las consideraciones 
de seguridad cibernetica a traves de cinco diferentes areas/ 
dimensiones de la capacidad, entendiendo que cada dimension 
no es necesariamente independiente de las otras. 

Las cinco dimensiones son: Polfticas y estrategia nacional de 
seguridad cibernetica; Cultura cibernetica y sociedad; Educacion, 
formacion y competencias en seguridad cibernetica; Marco 
juridico y reglamentario; y Normas, organizacion y tecnologlas. 
Cada dimension ofrece una serie de factores e indicadores de 
capacidad cibernetica para que una nacion comprenda la etapa 
de madurez en cada consideracion especlfica. Se han identificado 
cinco etapas de madurez y estas varfan desde una etapa inicial, 
en la cual una nacion puede que haya apenas comenzado a 
considerar la seguridad cibernetica, hasta un escenario dinamico, 
en el cual una nacion es capaz de adaptarse rapidamente a los 
cambios en el panorama de la seguridad cibernetica en relacion 


a las amenazas, las vulnerabilidades, los riesgos, la estrategia 
economica o el cambio de las necesidades internacionales. 

El CMM es el primero de su tipo en terminos de extension y 
profundidad en cada aspecto de capacidad de la seguridad 
cibernetica. Esta construido sobre una base de consulta de 
multiples partes interesadas y el respeto de los derechos 
humanos, equilibrando cuidadosamente la necesidad que se 
tiene de seguridad para permitir el crecimiento economico y la 
sostenibilidad, al tiempo que se respetan el derecho a la libertad 
de expresion y el derecho a la privacidad. 

Con el fin de asegurar que el CMM se pueda aplicar a las 
caracterlsticas especlficas regionales de America Latina y el Caribe, 
el Banco Interamericano de Desarrollo, la Organizacion de Estados 
Americanos y Oxford desarrollaron una herramienta de aplicacion 
para la region. Esta herramienta de aplicacion, que utiliza el CMM 
como su base, esta disenada para ayudar a una nacion a evaluar 
su capacidad de seguridad cibernetica actual y disponer donde 
invertir para permitir que haya una capacidad mas madura y 
resiliente, y mejorar la seguridad de la infraestructura nacional. 
La herramienta de aplicacion, por lo tanto, sirve para ayudarles a 
los gobiernos o naciones a hacer inversiones estrategicas mejor 
informadas en capacidad de seguridad cibernetica de acuerdo 
con las prioridades nacionales contrapuestas. 

Hay un punado de palses de todo el mundo que puede estar en 
una etapa superior de madurez. Es poco probable que una nacion 
evidencie estar en una etapa de madurez dinamica por todos 
los factores y los indicadores de las cinco dimensiones descritas 
en la herramienta de aplicacion y CMM. Ha habido grandes 
avances en capacidad cibernetica en America Latina y el Caribe 
en la mejora de la conectividad en la region. Con el aumento de 
las tasas de penetracion de Internet, no es de extranar que el 
gobierno y los interesados de la industria esten preocupados por 
la falta de capacidad de la seguridad cibernetica y algunos hayan 
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comenzado el proceso de considerar la seguridad cibernetica 
una prioridad nacional. 

Es muy alentador ver que recientemente algunas naciones 
han dado el importante paso de formar y publicar una 
estrategia nacional de seguridad cibernetica, proyectando las 
prioridades para las inversiones en estos palses, con entasis 
en el aseguramiento de la infraestructura crltica nacional, el 
desarrollo de la legislacion para luchar eficazmente contra 
el delito cibernetico y el establecimiento de marcos para la 
divulgacion responsable de los incidentes. 


El Modelo de Madurez de Capacidad 
de Seguridad Cibernetica (CMM) toma 
en cuenta las consideraciones 
de seguridad cibernetica a traves 
de cinco diferentes areas/dimensiones 
de la capacidad, entendiendo que cada 
dimension no es necesariamente 
independiente de las otras. 


Los datos recogidos en este estudio mostraron que varios palses 
poseen un CSIRT nacional o estan en el proceso de establecer 
formalmente una capacidad de respuesta a incidentes. En los 
lugares donde aun no se han desarrollado estrategias nacionales 
de seguridad cibernetica, se observa una tendencia emergente 
en la que un CSIRT nacional adquiere un papel mas amplio en 
la coordinacion de la seguridad cibernetica y cooperacion con 
la policla en los casos de ataque. 

Hay un gran valor en el desarrollo de una estrategia nacional 
de seguridad cibernetica a traves de consultas de multiples 
partes interesadas y enfoques interministeriales. Hay excelentes 
ejemplos de comites directivos interministeriales y/o grupos 
de trabajo de la region, que incluyen representacion de la 
sociedad civil y la industria. Por ejemplo, como indica el informe, 
Jamaica lanzo su Estrategia Nacional de Seguridad Cibernetica 
en enero de este ano. Al hacerlo, el pais creo el Grupo de Trabajo 
Nacional de Seguridad Cibernetica. El ejercicio de desarrollar 


una estrategia nacional es valioso en muchos aspectos, ya que 
congrega en una mesa a todas las partes interesadas que pueden 
tener la responsabilidad de la seguridad cibernetica. Este esboza 
las prioridades nacionales, mandatos y autoridades relativas, 
teniendo en cuenta las prioridades nacionales elaboradas para 
una nacion o region. El Centro de Capacidad tuvo el privilegio, 
mediante la cooperacion con la OEA, de contribuir al desarrollo 
de la Estrategia Nacional de Seguridad Cibernetica de Jamaica, 
y vio su lanzamiento en enero de este ano. 

Tambien se resalta la cooperacion con organizaciones 
internacionales como INTERPOL en el combate efectivo de la 
delincuencia cibernetica, potenciando las capacidades para 
combatir la delincuencia mediante el desarrollo de marcos 
legislatives, pero tambien la formacion investigadora especialista, 
el tratamiento de pruebas electronicas y la formacion de jueces 
y la fiscalla. Tambien es muy alentador ver acuerdos intra- 
regionales, como la Convencion Interamericana sobre Asistencia 
Mutua en Materia Penal, la cual ha sido destacada por muchos 
palses miembros como un mecanismo importante en la lucha 
contra los delitos informaticos. Otro hecho alentador es la 
cooperacion regional con ejemplos de Suriname abogando en 
nombre de la region en los foros internacionales. 

La promocion de las competencias de seguridad cibernetica 
a traves de la construccion de una base de conocimientos y 
la sensibilizacion en materia de seguridad cibernetica es 
una prioridad que se evidencia en la region. Los esfuerzos de 
sensibilizacion son una herramienta vital para el cambio de 
comportamiento en seguridad cibernetica, pero deben aplicarse 
en conjunto con otras estrategias que puedan influenciar. Chile 
en los ultimos anos ha comenzado la realizacion de campanas 
de sensibilizacion dirigidas como la campana de Internet Segura 
y la campana de Consumidor Digital, que pretenden aumentar 
la conciencia de seguridad cibernetica en grupos demograficos 
particulares. Es muy importante introducir comportamientos 
positivos hacia la seguridad de la informacion, que pueden resultar 
en una practica segura habitual. Estas practicas, con el apoyo de 
tecnologlas de seguridad faciles de utilizar, proporcionan una 
base solida para una sociedad cibernetica resiliente. 

Tambien son dignos de mencion los incentivos para la formacion 
y la educacion en la region. Hay ofertas destinadas a educacion y 
formacion en seguridad de la informacion. Se ofrecen cursos sobre 
seguridad cibernetica en las universidades, los cuales otorgan tltulos 
de grado y maestrla. Si bien este informe no detalla los cursos que 
se ofrecen, si indica que algunas universidades de la region de 
America Latina y el Caribe estan solicitando acreditacion en los 
cursos de seguridad cibernetica, por ejemplo en Bolivia, Brasil, 
Colombia, Panama, Peru, entre otros. 
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America Latina y el Caribe es digna de elogio en este estudio 
sin precedentes, donde se hace el mapeo de la capacidad de la 
seguridad cibernetica en la region. A traves del impulso del BID y 
la OEA, ALC es la primera en el mundo en realizar esta profunda y 
amplia comprension de la capacidad de la seguridad cibernetica 
en una region entera utilizando el modelo CMM. Ademas de 
promover un enfoque integral para el desarrollo de capacidades 
de seguridad cibernetica a nivel nacional, este informe de America 
Latina y el Caribe significa que los gobiernos miembros, junto con 
el apoyo de la comunidad donante e internacional, pueden hacer 
inversiones mas estrategicas de colaboracion en la capacidad 
de la seguridad cibernetica, capitalizando el recurso existente y 
dirigiendo mejor la inversion extranjera. 


A traves del impulso del BID y la 
OEA, ALC es la primera en el mundo 
en realizar esta profunda y amplia 
comprension de la capacidad de la 
seguridad cibernetica en una region 
entera utilizando el modelo CMM. 


Las etapas de madurez descritas en el modelo no estan disenadas 
para ser ni estaticas ni solo progresivas. Se entiende que una 
nacion puede decidir, por ejemplo, invertir fuertemente en la 
mejora de sus marcos legislatives y capacidad de justicia penal, lo 
que puede hacer avanzar su madurez en un area de la capacidad 
desde una etapa inicial hasta una ya establecida. Por otro lado, si 
una nacion deja de llevar a cabo una campana de sensibilizacion, 
ya no mantendra su etapa de madurez alta y volvera a una etapa 
anterior. Este ejercicio se ha empenado en capturar el estado 
actual de la capacidad de la seguridad cibernetica y, con el apoyo 
continuo de excelentes socios como la OEA y el BID, el CMM se 
podra aplicar de nuevo para dar cuenta de los aumentos de la 
capacidad cibernetica en America Latina y el Caribe. ■ 


El Centro Global de Capacidad sobre Seguridad Cibernetica de la 
Universidad de Oxford fue establecido en 2013, para construir una 
comprension global de practicas eficientes y eficaces de creacion 
de capacidad de seguridad cibernetica mediante la investigacion 
academica rigurosa. El trabajo del Centro esta dirigido por los 
lideres de opinion del mundo en este campo. En 2014, el Centro 
de Capacidad, en cooperacion con el BID y la OEA, diseno una 
herramienta de aplicacion para que la region implementara el 
CMM para poner en evidencia este estudio. 
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Sadie Creese 

Profesora de ciberseguridad en el Departamento 
de Ciencias de la Computacion en la Universidad 
de Oxford, es miembro del Consejo de 
Administracion del Worcester College de Oxford. 
Asimimo, funge como Directora del Centro Global 
de Capacidad sobre Seguridad Cibernetica en el 
Martin School de Oxford y miembro del Comite 
de Coordinacion para CyberSecurity@Oxford. 
Creese lidera y gestiona grandes programas 
de investigacion interdisciplinarios, supervisa 
proyectos de grado, y ensena a nivel de postgrado 
para el Centro de Formacion Doctoral en 
Seguridad Cibernetica y Riesgo Cibernetico para 
el MBA y programas ejecutivos en la Said Business 
School. Ademas, se dedica a un amplio portafolio 
de investigacion en seguridad cibernetica que 
abarca modelos de capacidad de seguridad 
cibernetica, modelado del dano cibernetico, 
conocimiento de la situacion, analitica visual, 
propagacion y comunicacion del riesgo, 
modelado y deteccion de amenazas, defensa 
de la red, fiabilidad y resiliencia, confianza 
y privacidad. Desde 2003, ha participado en 
trabajos de investigacion con otros profesionales, 
como psicologos, sociologos, economistas, 
politologos, abogados, criminologos y filosofos, 
entre otros. Creese tiene experiencia en filosofi'a, 
matematicas y ciencias de la computacion y ha 
trabajado profesionalmente en organizaciones 
comerciales, gubernamentales y academicas. 
Antes de incorporarse a Oxford en octubre de 
2011, fue Profesora y Directora de Seguridad 
Electronica del Laboratorio Digital Internacional 
de la Universidad de Warwick. Creese se vinculo 
a Warwick en 2007 despues de haber trabajado 
con QinetiQ. En Warwick, su puesto mas reciente 
fue como Directora de Programas Estrategicos 
para la Division de Gestion de Confianza de 
la Informacion. Sus publicaciones recientes 
incluyen trabajos sobre temas de deteccion de 
amenazas internas, analitica visual de ataque 
cibernetico, prediccion de la propagacion del 
riesgo cibernetico, atribucion de identidad 
en espacios fisicos y ciberneticos, privacidad 
personal de cara a datos grandes, vulnerabilidad 
de las identidades en contextos de redes sociales, 
metricas de confiabilidad de los datos de origen 
abierto y la mejor manera de comunicar el riesgo 
cibernetico. 
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Capacidad 

de seguridad cibernetica 


Los datos uti Lizados para este informe se recogieron a traves 
de una encuesta en linea desarrollada en colaboracion con el 
Centro Global de Capacidad sobre Seguridad Cibernetica (GCSCC) 
sobre la base del Modelo de Madurez de Capacidad de Seguridad 
Cibernetica (CMM, por sus siglas en ingles) desarrollado por 
el GCSCC. La encuesta en linea fue traducida en dos idiomas 
(ingles y espanol) y se puso a prueba inicialmente con visitas 
a cuatro palses piloto (Colombia, Costa Rica, Jamaica y Saint 
Kitts y Nevis), para luego ser administrada a un amplio sector 
de partes interesadas nacionales. 

La encuesta en linea fue distribuida a los Estados Miembros con 
una contrasena segura y se pidio a los puntos de contacto de cada 
Estado Miembro distribuirla a las partes interesadas nacionales 
que tendrlan la informacion necesaria para proporcionar el 
panorama mas completo de la seguridad cibernetica en sus 
respectivos palses. Se recibieron mas de 260 respuestas y la 
informacion fue luego agregada y revisada teniendo en cuenta 
fuentes de informacion complementarias. 

Los datos fueron analizados utilizando los 49 indicadores del CMM, 
que se dividen entre cinco dimensiones: 1) Pollticas y estrategia 
nacional de seguridad cibernetica ("Pollticas y estrategia"); 2) 
Cultura cibernetica y sociedad ("Cultura y sociedad"); 3) Educacion, 
formacion y competencias en seguridad cibernetica ("Educacion"); 
4) Marco jurldicoy reglamentario ("Marco jurldico");y 5) Normas, 
organizaciones y tecnologlas ("Tecnologlas"). Cada dimension 
tiene multiples factores que contribuyen a un estado mas maduro 
de capacidad en materia de seguridad cibernetica. Cada factor 
tiene varios niveles de indicadores que describen un estado de 
madurez. Los diferentes niveles de madurez ayudan al encuestado 
a seleccionar el nivel que es mas aplicable a su experiencia de la 
seguridad cibernetica en el pals. 

Los resultados del analisis fueron enviados a cada Estado Miembro 
para su validacion. Perfiles de pals se desarrollaron a continuacion 
para cada Estado Miembro, teniendo en cuenta datos estadlsticos 
sobre la poblacion del pals, la penetracion de Internet y los 
abonos a telefonos celulares (todas las estadlsticas provenientes 
de Banco Mundial banco de datos, ultima acceder noviembre, 
2015 en http://databank.bancomundial.org/data/home.aspx). 


Politica y estrategia 

Estrategia nacional de seguridad cibernetica 
oficial o documentada 

Desarrollo de la estrategia 

Organizacion 

Contenido 

Defensa cibernetica 

Estrategia 

Organizacion 

Coordinacion 



Cultura y sociedad 

Mentalidad de seguridad cibernetica 

En el gobierno 
En el sector privado 
En la sociedad 

Conciencia de seguridad cibernetica 

Sensibilizacion 

Confianza en el uso de Internet 

En los servicios en linea 
En el gobierno electronico 
En el comercio electronico 

Privacidad en linea 

Normas de privacidad 
Privacidad del empleado 
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Educacion 


Disponibilidad nacionalde la educacion 
y formacion ciberneticas 

Educacion 

Formacion 

Desarrollo nacional de la educacion de seguridad 
cibernetica 

Desarrollo nacional de la educacion de seguridad 
cibernetica 

Formacion e iniciativas educativas publicas y privadas 

Capacitacion de empleados en seguridad cibernetica 

Gobernanza corporativa, conocimiento y normas 

Comprension de la seguridad cibernetica por parte de 
empresas privadas y estatales 

o 

Marcos Legates 

Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 

Privacidad, proteccion de datos y otros derechos 

humanos 

Derecho sustantivo de delincuencia cibernetica 
Derecho procesal de delincuencia cibernetica 

Investigacion juridica 

Cumplimiento de la ley 

FiscaKa 

Tribunales 

Divulgacion responsable de la informacion 

Divulgacion responsable de la informacion 



Tecnologias 

Adhesion a las normas 

Aplicacion de las normas y practicas minimas aceptables 

Adquisiciones 

Desarrollo de software 

Organizaciones de coordinacion de seguridad cibernetica 

Centro de mando y control 
Capacidad de respuesta a incidentes 

Respuesta a incidentes 

Identificacion y designacion 

Organizacion 

Coordinacion 

Resiliencia de la infraestructura nacional 

Infraestructura tecnologica 
Resiliencia nacional 

Proteccion de la Infraestructura Critica Nacional (ICN) 

Identificacion 
Organizacion 
Planeacion de respuesta 
Coordinacion 
Gestion de riesgos 

Gestion de crisis 

Planeacion 

Evaluacion 

Redundancia digital 

Planeacion 

Organizacion 

Mercado de la ciberseguridad 

Tecnologias de seguridad cibernetica 
Seguros de delincuencia cibernetica 
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Niveles de madurez 


ESTRATEGICO 


FORMATIVO 


DINAMICO 
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Se han identificado cinco niveles de madurez de la capacidad de seguridad 
cibernetica, de acuerdo con los cuales el mas bajo implica un grado de capacidad 
mas bien ad hoc, y el nivel mas alto es tanto un enfoque estrategico como una 
capacidad de adaptarse dinamicamente o cambiar por consideraciones ambientales 
(operativas, amenazas, socio-tecnicas y politicas). 


INICIAL 


En este nivel, o nada existe, o es de naturaleza muy embrionaria. Tambien incluye 
un pensamiento o una observacion acerca de un problema, pero no una accion. 


FORMATIVO 


Algunas caracteristicas del subfactor han comenzado a crecer y ser formuladas, 
pero pueden ser casuales, desorganizadas, mal definidas o simplemente "nuevas". 


ESTABLECIDO 


Los elementos del subfactor estan establecidos y funcionando. Sin embargo, no se 
ha considerado bien la asignacion relativa de recursos. Ha habido poca toma de 
decisiones de compensacion en relacion con la inversion relativa en los distintos 
elementos del subfactor. Pero el subfactor es funcional y esta definido. 


ESTRATEGICO 


Estrategico no significa importante; mas bien, se trata de una seleccion. Al nivel 
nacional se han elegido las partes del subfactor que son clave, asl como aquellas 
que son menos importantes para la organizacibn/pais en particular. Estas elecciones 
toman en consideracion un resultado esperado, una vez implementado, que contiene 
circunstancias particulares y otros objetivos nacionales existentes. 


DINAMICO 


A nivel dinamico, existen mecanismos claros para alterar la estrategia en funcion de 
las circunstancias imperantes. Por ejemplo, la tecnologia del entorno de amenazas, 
conflicto global, un cambio significativo en un area de interes (por ejemplo, la 
delincuencia cibernetica o privacidad). Organizaciones dinamicas han desarrollado 
metodos para cambiar las estrategias, de acuerdo con una manera de "sentir y 
responder”. La toma de decisiones rapida, la reasignacion de los recursos y la 
atencion constante a los cambios del entorno son las caracteristicas de este nivel. 
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Perfiles de pai'ses 









Antigua y Barbuda 


Poli'tica y estrategia 


Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



En los ultimos cuatro anos el uso de Internet por 
parte de la poblacion de Antigua y Barbuda se ha 
incrementado notablemente, del 47% al 64%1 Al 
contar con esta comunidad digital aun mayor, el 
Gobierno de Antigua y Barbuda ha comenzado a 
darle prioridad a la seguridad cibernetica como una 
preocupacion nacional 2 . Se estan realizando consultas 
entre las partes interesadas para desarrollar una 
estrategia nacional de seguridad cibernetica y un 
CSIRT nacional. Las responsabilidades informales 
de seguridad cibernetica recaen bajo el Ministerio 
de Informacion, Difusion, Telecomunicaciones, 
Ciencia y Tecnologia, mientras que la Organizacion 
Nacional de Polfticas de Control de Drogas y Lavado 
de Activos sirve como el Punto Nacional de Contacto 
para organizaciones nacionales. 

Los operadores de las infraestructuras crlticas 
nacionales por lo general comprenden los 
riesgos de la seguridad cibernetica y aplican 
ciertas tecnologlas y estandares de seguridad 
para mejorar la resiliencia, aunque no exista una 
entidad designada para aplicar las normas de 
manera uniforme. Ademas, sin un mecanismo de 
respuesta de emergencias designado, el pals no 
puede mantener informacion exacta sobre las 
amenazas a la seguridad cibernetica y responder 
a eventos. 

En 2013 el Gobierno aprobo tres leyes para 
complementar la Ley de Delitos de Transferences 
Electronicas de Fondos vigente (2006) y fortalecer 
el marco jurldico del pals para las Tecnologlas 
de Informacion y Comunicaciones (TIC): la Ley de 
Delitos Electronicos, la Ley de Pruebas Electronicas 
y la Ley de Proteccion de Datos. El Laboratorio de 
Investigacion Cibernetica Regional de La Policla Real 
de Antigua y Barbuda investiga el delito cibernetico 
tanto a nivel nacional como en la region del Caribe. 
Tambien procesa evidencia digital que se presentara 
en los casos de delitos ciberneticos. Sin embargo, 


Antigua y Barbuda no cuenta con un mecanismo de 
divulgacion formal para el sector privado y son pocos 
los ataques ciberneticos que se denuncian a las 
autoridades. En ese sentido el Gobierno de Antigua y 
Barbuda tambien ha ratificado la Convencion sobre 
los Derechos del Nino. Los artlculos 16, 17 (e) y 34 
(c) de la convencion reconocen los derechos de 
los ninos a ser protegidos de acciones maliciosas, 
incluyendo delincuencia cibernetica y pornografla 
infantil. 

El Ministerio de Informacion ha desarrollado planes 
para producir una campana de sensi bi Lizacion 
acerca de la seguridad cibernetica en colaboracion 
con la Iniciativa para Conectar Antigua y Barbuda. 
No hay ninguna campana actualmente en curso. 
Las oportunidades de educacion sobre seguridad 
cibernetica en el pais son limitadas, con excepcion 
del Instituto Internacional de Tecnologia de Antigua 
y Barbuda que ofrece cursos sobre el tema. Las 
empresas del sector privado se han vuelto cada 
vez mas conscientes de los riesgos de seguridad 
cibernetica y han comenzado a tomar iniciativas 
para capacitar a los empleados. 


FUENTE DE ESTADISTICAS 

Banco Mundial | Banco de datos, 

Ultimo acceso: noviembre de 2015. 
databank.bancomundial.org/data/home.aspx 

La fuente es la misma para todos los palses. 


Personas con acceso a Internet* 

Los usuarios de Internet son personas que han 
utilizado Internet (en cualquier lugar) en los ultimos 
12 meses. Internet puede ser utilizado a traves de 
un ordenador, telefono movil, agenda electronica, 
maquina de juegos, TV digital, etc. 

Banco de Datos del Banco Mundial (2016). 


!■ POBLACION TOTAL DEL PAIS 90.900 


] Abonos a telefonos celulares 109.100 


^ Personas con acceso a Internet* 58.176 


Penetracion de Internet 


□ 64 % 
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Poli'tica y estrategia 

Estrategia nacional de seguridad 
cibernetica oficial o documentada 

Desarrollo de la estrategia 
Organization 
Contenido 



Defensa cibernetica 

Estrategia 

Organization 

Coordination 


Cultura y sociedad 

Mentalidad de seguridad cibernetica 

En el gobierno 
En el sector privado 
En la sociedad 



Conciencia de seguridad cibernetica 

Sensibilizacion 


Confianza en el uso de Internet 

En los servicios en linea 
En el gobierno electronico 
En el comercio electronico 

Privacidad en linea 

Normas de privacidad 
Privacidad del empleado 


Educacion 

Disponibilidad nacional de la educacion 
y formacion ciberneticas 

Educacion 

Formacion 



Desarrollo nacional de la educacion 
de seguridad cibernetica 

Desarrollo nacional de la educacion 
de seguridad cibernetica 

Formacion e iniciativas educativas 
publicasy privadas 

Capacitacion de empleados en seguridad 
cibernetica 


Gobernanza corporativa, conocimiento y normas 

Comprension de la seguridad cibernetica 
por parte de empresas privadas y estatales 


Marcos legates 

Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 
Privacidad, proteccion de datos 
y otros derechos humanos 
Derecho sustantivo de delincuencia cibernetica 
Derecho procesal de delincuencia cibernetica 



Investigation juridica 

Cumplimiento de la ley 
La fiscalia 
Tribunales 


Divulgacion responsable de la information 

Divulgacion responsable de la informacion 


Tecnologias 

Adhesion a las normas 

Aplicacion de las normas y 
practicas minimas aceptables 
Adquisiciones 
Desarrollo de softwre 



Organizaciones de coordination 
de seguridad cibernetica 

Centro de mando y control 
Capacidad de respuesta a incidentes 

Respuesta a incidentes 

Identificacion y designation 
Organization 
Coordination 


Resiliencia de la infraestructura nacional 

Infraestructura tecnologica 
Resiliencia nacional 

Proteccion de la Infraestructura Critica Nacional (ICN) 

Identificacion 
Organization 
Planeacion de respuesta 
Coordination 
Gestion de riesgos 

Gestion de crisis 

Planeacion 

Evaluacion 


Redundancia digital 

Planeacion 

Organization 

Mercado de la ciberseguridad 

Tecnologias de seguridad cibernetica 
Seguros de delincuencia cibernetica 
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ar Argentina 


Poli'tica y estrategia 



Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



Bajo la direccion del Programa Nacional de 
Infraestructuras Criticas de Informacion y 
Ciberseguridad (ICIC) y en coordinacion con diversos 
organismos, instituciones academicas y el sector 
privado, el Gobierno de Argentina ha desarrollado 
un proyecto de Estrategia Nacional de Seguridad 
Cibernetica que se encuentra en espera de adopcion. 
Argentina se distingue por haber formado el 
primer CSIRT nacional en 1994, que desde 2011 
ha funcionado bajo el ICIC. ICIC-CERT mantiene 
un registro central de los eventos y amenazas de 
seguridad cibernetica. Las Fuerzas Armadas realizan 
Ejercicios Nacionales de Respuesta a Incidentes 
Ciberneticos (ENRIC) anuales para compartir 
mejores practicas y revisar funciones de mando 
y control; sin embargo actualmente tienen una 
capacidad limitada de resiliencia cibernetica. 

Anteriormente la infraestructura crftica nacional 
(ICN) se manejaba mas o menos de manera 
informal; sin embargo, en junio de 2015 la 
Presidencia de la Republica de Argentina emitio 
el Decreto n° 1067/2015 que reestructuro el control 
gubernamental de la ICN, y establecio una Oficina 
Nacional bajo la direccion de la Subsecretarfa 
de Proteccion de Infraestructuras Criticas de 
Informacion y Ciberseguridad bajo la Jefatura del 
Gabinete de Ministros y Secretarla del Gabinete. 
Este nuevo programa trabajara para desarrollar 
normas y estandares de seguridad cibernetica, asl 
como para colaborar con el sector privado para 
mejorar la resiliencia de la ICN. 


obligado por ley a reportar las violaciones a la 
seguridad cibernetica. Sin embargo ha crecido 
de manera significativa entre las empresas una 
conciencia de riesgos de seguridad cibernetica. 
La Division de Delitos Tecnologicos de la Policla 
Federal Argentina (PFA) es responsable de investigar 
los casos de delitos informaticos y asume una 
serie de capacidades, que incluyen el suministro 
de informacion sobre como detectar y reportar 
ataques ciberneticos. Recientemente, el Gobierno 
de Argentina establecio tambien un punto focal en 
materia de ciberdelincuencia bajo la oficina del 
Ministerio Publico Fiscal. 

Como los servicios de gobierno electronico y 
comercio electronico de la Argentina continuan 
en expansion, las entidades gubernamentales han 
liderado campanas de concientizacion para educar al 
publico sobre la seguridad cibernetica. Dos ejemplos 
notables son "Internet Sano" del ICIC, que se centra 
en mejores practicas para el uso seguro de Internet, y 
"Con Vos en la Web" bajo la direccion del Ministerio 
de Justicia y Derechos Humanos, que les ensena a 
ninos y ninas, padres y maestros sobre la amenaza 
de la captacion de menores en llnea o grooming 
(creacion de lazos de amistad abusivos en la web 
con los ninos para atraerlos al abuso sexual o la 
trata de personas). Ademas, algunas universidades 
ofrecen programas de grado en seguridad cibernetica 
e informatica forense. 


En medio de un aumento de los delitos informaticos, 
el Gobierno de Argentina ha construido un 
exhaustivo marco jurldico para las TIC, incluyendo 
la Ley 26.388, el Codigo Penal y la Ley 25.326 sobre 
proteccion de datos. Tambien esta desarrollando 
legislacion procesal para el tratamiento de 
evidencia digital. Si bien existen mecanismos 
para la divulgacion, el sector privado no esta 


!■ POBLACION TOTAL DEL PAIS 42.980.026 


] Abonos a telefonos celulares 66.356.509 


^ Personas con acceso a Internet 27.937.016 


Penetration de Internet 


□ 65 % 
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El Ministerio de Seguridad Nacional del Gobierno 
de Bahamas es la principal entidad encargada 
de la seguridad cibernetica en el pais. Aunque no 
ha lanzado una polftica o estrategia nacional de 
seguridad cibernetica, el 23 de abril de 2014 el 
Ministerio de Seguridad Nacional llevo a cabo un 
taller con multiples partes interesadas y con el 
apoyo del Programa de Seguridad Cibernetica de la 
OEA para el desarrollo de una estrategia nacional 3 . 
El Gobierno de Bahamas no cuenta con un CSIRT 
nacional para responder a eventos ciberneticos. 
Sin embargo tras un ataque en mayo de 2015 de 
un extremista islamico contra la infraestructura 
de Tl del gobierno, se creo un grupo de trabajo de 
expertos y en junio de ese ano se ofrecio al personal 
del gobierno y del sector privado un curso gratuito 
de formacion en hackeos eticos 4 . La infraestructura 
nacional de Tl de Bahamas se gestiona de manera 
informal y no existe categorizacion formal de 
vulnerabilidades o amenazas. 

En 2003 el Parlamento promulgo la Ley de Uso 
Indebido de Equipos de Computo, que dispone 
criminalizacion exhaustiva de y derecho procesal 
para ataques ciberneticos y actos maliciosos 
relacionados. El Parlamento tambien ha firmado 
la Ley de Proteccion de Datos (2003) y la Ley de 
Transaccionesy Comunicaciones Electronicas (2006) 
que protegen los derechos de los ciudadanos en 
la web y establecen normas y reglamentos para 
el comercio electronico y otros servicios en Knea 
respectivamente. Por otra parte, Bahamas se ha 
adherido a la Convencion sobre los Derechos del 
Nino, que incluye la proteccion de los ninos y ninas 
contra el abuso o la explotacion en Internet. 

La Policfa Real de Bahamas maneja los casos de 
delitos ciberneticos en el pais y tiene previsto 
establecer una Unidad de Investigaciones de Delitos 
Ciberneticos especffica, que aim no ha entrado en 
funcionamiento. Actualmente no existe ningun 


requisito de divulgacion para el sector privado 
para denunciar violaciones a las autoridades. Por 
otra parte los tribunales y los fiscales cuentan con 
una capacidad limitada para manejar evidencia 
electronica. 

No hay ninguna campana de sensibilizacion 
actualmente en Bahamas, pero si hay algunas 
opciones disponibles para la formacion en el tema, 
como el Programa de Certificacion Avanzada de 
la International Compliance Association (ICA) en 
Seguridad Cibernetica ofrecido en el Instituto de 
Servicios Financieros de Bahamas. 


!■ POBLACION TOTAL DEL PAIS 383.054 


] Abonos a telefonos celulares 273.300 


^ Personas con acceso a Internet 294.951 
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En los ultimos anos el Gobierno de Barbados 
ha dado los primeros pasos para fortalecer la 
seguridad cibernetica de su pals. En 2013 la 
Unidad de Telecomunicaciones perteneciente 
al Ministerio de Energfa firmo un acuerdo con 
la Unidad Internacional de Telecomunicaciones 
para establecer un CSIRT nacional y el gobierno 
se encuentra actualmente en conversaciones 
consultivas con la Union de Telecomunicaciones 
del Caribe y la Organizacion de Telecomunicaciones 
del Commonwealth para desarrollar un "Modelo 
de Gobernanza Cibernetica del Commonwealth". 
Sin embargo la aplicacion de estas medidas ha 
sido lenta y las autoridades han mencionado como 
obstaculos para el avance la falta de fondos para La 
seguridad cibernetica y una limitada cooperacion 
interinstitucional. 

En junio de 2015 la pagina web del Servicio 
de Informacion del Gobierno de Barbados fue 
atacada por piratas informaticos. Afortunadamente 
en cuestion de horas las autoridades pudieron 
restaurar el sitio web y mitigar el ataque 5 . Mientras 
que el sector bancario y algunas de las principales 
empresas han adoptado medidas de seguridad 
cibernetica mas fuertes, las autoridades creen que 
muchas empresas del sector privado y algunas 
entidades gubernamentales carecen de estructuras 
adecuadas para defenderse de las amenazas 
ciberneticas. 


sustantivo como procesal para la investigacion de 
la delincuencia cibernetica. Barbados tambien ha 
promulgado la Ley de Asistencia Mutua en Asuntos 
Penales, Capltulo 140 Seccion 6, que le permite 
al Gobierno de esta nacion solicitar la ayuda de 
los pai'ses del Commonwealth en la obtencion de 
pruebas electronicas. 

Tres cuartas partes de la poblacion de Barbados 
esta conectada a Internet y las partes interesadas 
en la seguridad cibernetica estan preocupadas por 
que la gran mayorla de la sociedad no es consciente 
de los riesgos y vulnerabilidades asociadas con el 
uso de tecnologia de la informacion 6 . Para crear 
conciencia, Barbados se ha sumado a la campana 
THINKCLICKSURF de la Unidad Internacional de 
Telecomunicaciones. Como parte de la campana, 
la Policia Real de Barbados realiza una gira por las 
escuelas primarias y secundarias de todo el pals 
para educar a los estudiantes sobre las practicas 
seguras de Internet, la privacidad y el acoso en llnea. 
En cuanto a la educacion superior, el campus de la 
Universidad de las Indias Occidentales de Barbados 
ofrece cursos, pero en la actualidad no existe un 
programa de grado en seguridad cibernetica. 


La Unidad de Delitos Ciberneticos de la Policia Real 
de Barbados es la principal agencia responsable de 
investigar los casos de delincuencia cibernetica. 
La unidad recibe capacitacion tecnica de expertos 
regionales e internacionales en materia de seguridad 
cibernetica y esta trabajando para crear su propio 
laboratorio de analisis forense digital. En cuanto a 
los delitos informaticos, la Policia Real de Barbados 
cumple con la Ley de Uso Indebido de Equipos de 
Computo, 2005-4, que incluye tanto el derecho 


m POBLACION TOTAL DEL PAIS 283.380 


] Abonos a telefonos celulares 305.456 


^ Personas con acceso a Internet 218.202 


Penetration de Internet 


□ 77 % 
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En 2014 el Ministerio de Seguridad Nacional 
organizo un Comite ad hoc de Seguridad 
Cibernetica, compuesto por multiples partes 
interesadas, incluyendo la academia y el sector 
privado, para trabajar juntos en el desarrollo de 
una estrategia nacional de seguridad cibernetica, 
reforzar la legislacion de delito cibernetico y crear 
conciencia sobre el delito cibernetico en Belice. 
El comite ha recibido asistencia del Programa 
de Seguridad Cibernetica de la OEA. Ademas 
Belice esta planeando una Politica Nacional 
de Innovacion de las TIC que busca ampliar 
los servicios de gobierno electronico, asi como 
implementar medidas de seguridad cibernetica 
relacionadas. Adicionalmente la Organizacion 
Central de Tecnologlas de Informacion tambien esta 
concluyendo su Politica, Estrategia y Plan de Accion 
de Gobierno Electronico. El pals tambien participa 
en el Proyecto de la Union de Telecomunicaciones 
del Caribe y la Comunidad del Caribe (CARICOM) 
HIPCAR, una iniciativa para unificar las gestiones 
de innovacion de las TIC en toda la region. 

Belice no cuenta ni con una politica de 
defensa cibernetica ni un CSIRT nacional; en 
consecuencia los ataques ciberneticos son 
manejados principalmente por la Unidad de Tl 
del Departamento de Policla del pais. La Unidad de 
Tl del Departamento de Policla proporciono apoyo 
notable en seguridad cibernetica en coordinacion 
con CARICOM para la Copa Mundial de Cricket de 
2007 y se comunica regularmente con los CSIRT 
regionales. Belice ha promulgado cuatro leyes 
relacionadas con la delincuencia cibernetica, a 
saber: Ley de Telecomunicaciones, Ley de Pruebas 
Electronicas, Ley de Propiedad Intelectual y 
Ley de Interceptacion de Comunicaciones. Sin 
embargo, sin una ley penal integral la policla 
y el Poder Judicial tienen dificultades para 
enjuiciar efectivamente los delitos ciberneticos. 
En consecuencia, aunque no existe un acuerdo 


vinculante para la divulgacion de brechas en 
seguridad cibernetica, el gobierno y sector privado 
cooperan para denunciar y abordar los ataques 
ciberneticos y, si bien las estadlsticas son limitadas, 
el Gobierno de Belice ha notado un aumento de 
los incidentes en los ultimos anos. 

En respuesta a las crecientes amenazas a la 
seguridad cibernetica en la region, el gobierno 
ha comenzado a promover tecnologia y estandares 
mas fuertes de seguridad entre las entidades y los 
operadores de la Infraestructura Crltica Nacional 
(ICN). Sin embargo, las partes interesadas no han 
formulado planes de respuesta u otras pollticas 
de gestion de crisis en relacion con la proteccion 
de la ICN. 

Con una penetracion de Internet del 39%, gran 
parte de la sociedad de Belice no ha desarrollado 
una mentalidad frente a la seguridad cibernetica 7 . 
Con el fin de crear conciencia sobre los asuntos 
de seguridad cibernetica, el Departamento 
de Policla de Belice (BPD, por sus siglas en 
ingles) participa en un "Programa Itinerante de 
Tecnologlas de Informacion y Comunicaciones" 
anual, organizado por el Ministerio de Energla, 
Ciencia y Tecnologia y Servicios Publicos. El 
BPD utiliza esta plataforma para educar a las 
comunidades sobre las oportunidades y los riesgos 
del espacio cibernetico. El proximo ano, con el 
apoyo del sector privado, la academia y otras 
partes interesadas, el Gobierno de Belice tiene 
previsto celebrar su Primera Semana Anual de 
Seguridad Cibernetica. Ademas, Belice tambien 
espera lanzar la campana de educacion publica 
STOP.THINK.CONNECT. para finales de 2015. 
Actualmente no hay programas de licenciatura 
en seguridad cibernetica en las universidades del 
pals, pero algunas empresas del sector privado si 
ofrecen programas de formacion. 


!■ POBLACION TOTAL DEL PAIS 351.706 


] Abonos a telefonos celulares 172.300 


^ Personas con acceso a Internet 137.165 


Penetracion de Internet 
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La Agencia para el Desarrollo de la Sociedad de 
la Informacion en Bolivia (ADSIB) es la agencia 
principal de gestion de asuntos de seguridad 
cibernetica y gobierno electronico en Bolivia. 
Los objetivos del ADSIB incluyen gestiones de 
coordinacion para ampliar las Tecnologias de 
Informacion y Comunicaciones (TIC) mediante la 
sensibilizacion de la sociedad sobre la seguridad 
cibernetica y la asociacion en proyectos con el 
sector privado y la sociedad civil 8 . El Gobierno 
de Bolivia no ha desarrollado una estrategia o 
poli'tica de seguridad cibernetica oficial. Ademas, 
previamente tuvo que coordinar la respuesta a 
incidentes a traves de los CSIRT de otros paises, por 
ejemplo frente a una amenaza a la Infraestructura 
Crltica Nacional a traves del ArCERT de Argentina. 
Sin embargo, en 2015 se puso en operacion el 
CSIRT oficial de Bolivia, CSIRT-BO. 

En 2013 Bolivia fortalecio su infraestructura 
nacional de Tl con el desarrollo de un Punto 
de Intercambio de Trafico de Internet nacional 
(IXP), llamado PIT-BOLIVIA. 9 Los operadores de 
infraestructura crltica tambien han implementado 
procedimientos y estandares de seguridad ad hoc 
pero no existe una colaboracion formal entre las 
partes interesadas en este sentido. 

La Division Informatica Forense del Instituto 
de Investigaciones Tecnico Cientlficas de la 
Universidad Policial (IITCUP) se encarga de los 
casos nacionales de delincuencia cibernetica. El 
Gobierno ha estado trabajando recientemente 
para fortalecer la capacidad del IITCUP. La Division 
hace cumplir el Capltulo XI del Codigo Penal 
(establecido en 1997), que tipifica como delito la 
manipulacion o la obtencion ilegal de informacion 
en Internet y en los articulos 253 y 254 del Codigo 
de Procedimiento Penal se establecen normas para 
la obtencion de evidencia electronica. La Asamblea 
Legislativa Plurinacional tambien ha aprobado 


el artlculo 281 de la Ley 3325 de 2006 contra la 
trata de personas, la pornografla infantil y otros 
actos infames que a menudo se relacionan con 
Internet. No existe ninguna legislacion especlfica 
relativa a la delincuencia informatica. Sin embargo, 
el pais ha desarrollado un proyecto de ley sobre 
documentos electronicos, firma electronica y 
comercio electronico destinado a mejorar la 
capacidad de resiliencia de la infraestructura de 
Tl y fortalecer la seguridad cibernetica nacional. El 
IITCUP menciona la falta de un canal formal para 
la obtencion de la divulgacion oportuna de ataques 
ciberneticos como un problema importante para 
hacer cumplir la ley. 

Mientras que el ADSIB ofrece una variedad de 
literatura que detalla el uso seguro de Internet en 
su sitio web, asi como seminarios de formacion, 
hasta la fecha el Gobierno de Bolivia no ha liderado 
ninguna campana nacional de sensibilizacion 
sobre la materia. En cambio, muchas universidades 
ofrecen clases sobre seguridad cibernetica, aunque 
en su mayori'a son a nivel teorico con trabajo 
practico tecnico limitado. 


!■ POBLACION TOTAL DEL PAIS 10.561.887 


] Abonos a telefonos celulares 10.450.341 


^ Personas con acceso a Internet 4.119.136 


Penetration de Internet 



58 



Poli'tica y estrategia 

Estrategia nacional de seguridad 
cibernetica oficial o documentada 

Desarrollo de la estrategia 
Organization 
Contenido 



Defensa cibernetica 

Estrategia 

Organization 

Coordination 


Cultura y sociedad 

Mentalidad de seguridad cibernetica 

En el gobierno 
En el sector privado 
En la sociedad 



Conciencia de seguridad cibernetica 

Sensibilizacion 


Confianza en el uso de Internet 

En los servicios en linea 
En el gobierno electronico 
En el comercio electronico 

Privacidad en linea 

Normas de privacidad 
Privacidad del empleado 


Educacion 

Disponibilidad nacional de la educacion 
y formacion ciberneticas 

Educacion 

Formacion 



Desarrollo nacional de la educacion 
de seguridad cibernetica 

Desarrollo nacional de la educacion 
de seguridad cibernetica 

Formacion e iniciativas educativas 
publicasy privadas 

Capacitacion de empleados en seguridad 
cibernetica 


Gobernanza corporativa, conocimiento y normas 

Comprension de la seguridad cibernetica 
por parte de empresas privadas y estatales 


Marcos legates 

Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 
Privacidad, proteccion de datos 
y otros derechos humanos 
Derecho sustantivo de delincuencia cibernetica 
Derecho procesal de delincuencia cibernetica 



Investigation juridica 

Cumplimiento de la ley 
La fiscalia 
Tribunales 


Divulgacion responsable de la information 

Divulgacion responsable de la informacion 


Tecnologias 

Adhesion a las normas 

Aplicacion de las normas y 
practicas minimas aceptables 
Adquisiciones 
Desarrollo de softwre 



Organizaciones de coordination 
de seguridad cibernetica 

Centro de mando y control 
Capacidad de respuesta a incidentes 

Respuesta a incidentes 

Identificacion y designation 
Organization 
Coordinacion 


Resiliencia de la infraestructura nacional 

Infraestructura tecnologica 
Resiliencia nacional 

Proteccion de la Infraestructura Critica Nacional (ICN) 

Identificacion 
Organization 
Planeacion de respuesta 
Coordinacion 
Gestion de riesgos 

Gestion de crisis 

Planeacion 

Evaluacion 


Redundancia digital 

Planeacion 

Organization 

Mercado de la ciberseguridad 

Tecnologias de seguridad cibernetica 
Seguros de delincuencia cibernetica 


OBSERVATORIO DE LA 

CIBERSEGURIDAD 

EN AMERICA LATINA Y EL CARIBE 


59 


Brasil 



.br 


Poli'tica y estrategia 



Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



Brasil ha realizado grandes inversiones en las TIC 
como una manera de promover el crecimiento 
economico y el progreso social. A la luz de su 
creciente adopcion de las TIC, Brasil se ha convertido 
en un objetivo prioritario de los ataques y delitos 
ciberneticos incluyendo olas de phishing focalizado, 
malware y ataques DDoS antes de la Copa del 
Mundo de 2014. Mientras se prepara para los Juegos 
Olimpicos de 2016 la administracion Rio de Janeiro 
ha construido un centro urbano integrado. 10 

En 2010 el Departamento de Seguridad de la 
Informacion y Comunicaciones publico la Guia de 
Referencia para la Proteccion de Infraestructuras 
Crlticas de Informacion y el Libro Verde de Seguridad 
Cibernetica en Brasil. Estos documentos han servido 
como base para la recien publicada Estrategia 
Nacional de Seguridad de las Comunicaciones 
de Informacion y Seguridad Cibernetica de la 
Administracion Publica Federal 11 . Las Fuerzas Armadas 
brasilenas tambien discuten Las preocupaciones sobre 
defensa cibernetica en su Libro Blanco de Defensa 
Nacional 2012. Recientemente crearon un Comando 
de Defensa Cibernetica formal y una Escuela Nacional 
de Defensa Cibernetica, ademas del Centro para la 
Defensa Cibernetica del Ejercito (CDCiber). 

Brasil tiene varios de Equipos de Respuesta a 
Incidentes de Seguridad Informatica (CSIRT), que 
van desde entidades administradas por el gobierno 
a equipos del sector privado o academicos. El 
Comite Gestor de Internet en Brasil (CGI.br) es 
el encargado de coordinar todas las iniciativas 
de servicios de Internet en el pals y el Centro de 
Informacion de la Red Brasilena (NIC.br) trabaja 
para implementar este tipo de iniciativas 12 . 
El equipo Nacional de Respuesta a Incidentes 
Informaticos de Brasil (CERT.BR), que opera bajo el 
CGI.br y el NIC.br, es responsable de la respuesta y 
coordinacion a incidentes, capacitacion y campanas 
de concientizacion. El Departamento de Seguridad 
de Informacion y Comunicaciones de Brasil tambien 


mantiene un CSIRT, el CTIR.gov, que proporciona 
servicios de respuesta a incidentes y recopilacion 
de datos para la Administracion Publica Federal. 

El esquema de Brasil para abordar las actividades 
ciberneticas ilicitas se basa en la Ley n° 12.965/2014, 
el "Marco de Derechos Civiles para Internet" y la 
Ley n° 12.737, que tipifica formalmente el delito 
cibernetico. Sin embargo estas leyes se consideran 
insuficientes para disuadir a los delincuentes. Fla 
estado recientemente bajo consulta publica una 
ley especlfica para hacer frente a la privacidad en 
Internet y regular la conservacion de datos por parte 
de los Proveedores de Servicios de Internet, pero 
no se ha adoptado formalmente. La Oficina para 
la Represion de la Delincuencia Cibernetica de la 
Policla Federal es la principal entidad encargada 
de investigar los delitos ciberneticos y cuenta con 
un laboratorio forense digital. Algunos estados de 
Brasil tambien cuentan con equipos de enjuiciamiento 
especializados. Aunque el sector privado no esta 
obligado a revelar incidentes ciberneticos, la Oficina 
para la Represion de la Delincuencia Cibernetica tiene 
una relacion laboral con las empresas. 

La comprension publica de los problemas de 
seguridad cibernetica en Brasil es generalmente 
baja y organizaciones como el CGI.br y el NIC.br 
han tratado de abordarla mediante la emision de 
numerosos boletines y campanas de sensibilizacion. 
El sector privado esta cada vez mas informado acerca 
de la necesidad de tener una mejor proteccion 
contra las amenazas ciberneticas. Las empresas 
y los operadores de infraestructuras crfticas han 
implementado requisitos de privacidad para sus 
empleados y estan desarrollando estandares de 
adquisiciones y tecnologia. Tambien existe un fuerte 
mercado nacional de tecnologias de seguridad 
cibernetica. La academia ofrece una gran cantidad 
de oportunidades para la educacion en seguridad 
cibernetica con varias universidades que tienen 
programas de maestria y doctorado. 


!■ POBLACION TOTAL DEL PAIS 206.077.898 


] Abonos a telefonos celulares 280.728.796 


^ Personas con acceso a Internet 119.525.181 


Penetration de Internet 


□ 58 % 
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El Ministerio del Interior y Seguridad Publica, 
el Secretario General de la Presidencia y la 
Subsecretarla de Telecomunicaciones son 
los principales organismos nacionales que 
establecen la poli'tica de seguridad cibernetica 
a nivel gubernamental. Si bien el pais no ha 
emitido una estrategia nacional de seguridad 
cibernetica, la sensibilizacion entre las 
instituciones gubernamentales es generalizada. La 
infraestructura gubernamental presenta tecnologia 
de seguridad actualizada y las partes interesadas 
pertinentes regularmente analizan los activos 
y vulnerabilidades de la Infraestructura Crftica 
Nacional. El Estado tambien coordina la planeacion 
de gestion de crisis y ha puesto en marcha medidas 
de redundancia. 

Las ramas de las Fuerzas Armadas de Chile 
comparten responsabilidades de defensa 
cibernetica e informacion pero no tienen una 
estructura central de mando y control. Uno de los 
principales desafios de Chile de cara al futuro es 
el fortalecimiento de su capacidad de respuesta 
a incidentes: el CSIRT-CL que se encuentra en 
funcionamiento desde 2004 ofrece respuesta a 
incidentes para los sitios web del gobierno pero 
no esta institucionalizado formalmente a nivel 
nacional para abordar todo tipo de violaciones. 

Chile ha establecido un marco jurldico global 
para hacer frente a los delitos ciberneticos. El 
Decreto Supremo n° 1299 describe las normas y 
define los roles para el manejo de la delincuencia 
cibernetica, la Ley n° 19.223 introduce los delitos 
informaticos al Codigo Penal y la Ley n° 19.628 
cubre la privacidad y proteccion de datos. Aunque 
el sector privado no esta obligado por ley a 
divulgar las violaciones, el gobierno trabaja en 
estrecha colaboracion con las empresas para 
informar y responder a incidentes ciberneticos. 
De acuerdo con las autoridades de Chile, la 


suplantacion de identidad (phishing), malware 
y pi raterfa informatica son los tipos mas 
frecuentes de ataques ciberneticos en el pals. El 
Departamento de Investigacion de Organizaciones 
Criminales (OS-9) y el Laboratorio de Criminalistica 
de los Carabineros (LABOCAR), la policia nacional 
de Chile, llevan a cabo investigaciones y analisis 
forense digital respectivamente. Estas unidades 
han detenido con exito numerosos criminales 
ciberneticos en los ultimos anos. Por ultimo, los 
tribunales tienen una capacidad adecuada para 
manejar evidencia electronica. 

La mentalidad de seguridad cibernetica es 
inconsistente en la sociedad chilena. En 2013, 
para crear conciencia, el Ministerio de Educacion 
inicio la campana de Internet Segura para 
educar a los jovenes sobre la privacidad y el uso 
seguro de Internet. Tambien esta en marcha una 
campana, llamada Consumidor Digital, para que 
los ciudadanos tengan cuidado de los riesgos del 
comercio electronico y para que entiendan sus 
derechos como consumidores. La Universidad 
de Chile ofrece tltulos avanzados en seguridad 
cibernetica y tambien estan disponibles diversos 
cursos en linea y capacitacion para empleados. 
Comparativamente, el sector privado se ha 
vuelto cada vez mas consciente de los riesgos 
de seguridad cibernetica y ha puesto en marcha 
planes para abordarlos. 


!■ POBLACION TOTAL DEL PAIS 17.762.647 


] Abonos a telefonos celulares 23.683.351 


^ Personas con acceso a Internet 12.789.105 


Penetration de Internet 


□ 72 % 
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El Consejo Nacional de Politica Economica y Social 
del Gobierno de Colombia establecio la politica 
nacional de seguridad cibernetica CONPES 3701 
bajo el auspicio del Ministerio de Tecnologfas de 
la Informacion y las Comunicaciones (MinTIC), el 
Ministerio de Defensa, el Departamento Nacional 
de Planeacion y otras instituciones nacionales 
clave. Ademas, en 2014 una Mision de Asistencia 
Tecnica de la OEA al pals ayudo a construir la 
capacidad de las partes interesadas de desarrollar 
marcos y pollticas institucionales. Si bien esta muy 
extendida la conciencia sobre el CONPES 3701, no 
se han definido claramente mandatos especlficos. 
El Grupo de Respuesta de Emergencias Ciberneticas 
de Colombia (ColCERT) es una institucion clave 
en defensa y seguridad cibernetica y se muestra 
competente para la coordinacion con otros 
organismos y el sector privado. El programa CERT 
de Colombia funciona principalmente como un 
mecanismo de respuesta a incidentes ciberneticos 
especlficos de la organizacion, y los programas de 
gestion del riesgo han comenzado a surtir efecto. 
Ultimamente, el Ministro de TIC de Colombia ha 
informado que una nueva estrategia de seguridad 
cibernetica y defensa cibernetica estara lista para 
finales de 2015 o inicios de 2016. 


La conciencia social sobre la importancia de la 
privacidad y la seguridad en Internet y la confianza 
en los sistemas digitales del pais ha crecido 
notablemente, en parte debido a las campanas 
nacionales, como en la campana "en TIC Conflo" 
del MinTIC. Colombia cuenta con mas de 2.000 
oportunidades de comercio electronico y servicios 
de gobierno electronico que se realizan en su 
mayorla en un entorno seguro. Aun asl, la mayorla 
de ciudadanos y empleados privados cuentan con 
por lo menos un nivel mlnimo de infraestructura de 
privacidad y hay leyes en vigor que obligan a las 
empresas a implementar pollticas de proteccion 
de datos en el lugar de trabajo como la Ley 1581 
de 2012 y el Decreto 1377 de 2013. 

El desarrollo de educacion de seguridad cibernetica 
nacional ha experimentado un crecimiento notable 
y los foros publico-privados y centros de excelencia 
financiados por el gobierno han comenzado 
a gestarse en el pals. Numerosas universidades, 
organismos policiales y de defensa y las empresas 
privadas ofrecen cursos y capacitaciones, incluyendo 
maestrlas y programas de acreditacion. 


Tecnologia 



Colombia ha aprobado una legislacion procesal 
penal integral y de efectiva penalizacion (Ley 1273 
y Ley 906) para abordar los delitos ciberneticos y 
reconoce los tratados internacionales con Interpol 
y Europol. Las fuerzas del orden y el Poder Judicial 
tienen la capacidad de investigar y manejar casos 
de delincuencia cibernetica, pero carecen de la 
formacion y capacidad para lograr los mismos 
resultados en los tribunales. Asimismo, si bien la Ley 
1581 establece un marco basico para la proteccion 
de datos y divulgacion y denuncia de las violaciones 
de seguridad, a menudo los casos de los sectores 
publico y privado no se informan. 


!■ POBLACION TOTAL DEL PAIS 47.791.393 


] Abonos a telefonos celulares 55.330.727 


^ Personas con acceso a Internet 25.329.438 


Penetration de Internet 


□ 53 % 
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Costa Rica 


El Ministerio de Ciencia, Tecnologfa y 
Telecomunicaciones (MICITT) de Costa Rica es 
la autoridad principal responsable del manejo 
de los problemas y del desarrollo de politicas 
relacionadas con la seguridad cibernetica nacional. 
Otras instituciones, incluida la Secretarfa Digital/ 
Gobierno Digital, la Seccion de Delitos Informaticos 
del Poder Judicial, la Superintendencia de 
Telecomunicaciones, el Banco Central y la Agencia 
de Proteccion de Datos de los Habitantes (Prodhab), 
tambien han sido clave en esta area. El MICITT 
esta en las etapas iniciales de la planificacion de 
una estrategia de seguridad cibernetica nacional. 

El ano 2012 fue un ano decisivo para la seguridad 
cibernetica en Costa Rica con la aprobacion de 
la Ley 9048 que introdujo formalmente el delito 
cibernetico al codigo penal del pals. Costa Rica 
tambien reconoce la Convencion Interamericana 
sobre Asistencia Mutua en Materia Penal 
(comunmente conocida como la "Convencion de 
Nassau") y regularmente coordina con la Interpol. Los 
ciudadanos en general gozan de la proteccion de la 
libertad de expresion y los derechos a la privacidad 
bajo la jurisdiccion interna. Sin embargo, aunque 
la Fuerza Publica maneja un laboratorio forense 
digital, las autoridadesjudiciales tienen dificultades 
para procesar eficazmente los casos de delitos 
informaticos ya que un numero limitado de fiscales 
yjueces tienen la capacidad de preparar y manejar 
casos que involucran evidencia electronica. 

Ademas, en 2012 el Gobierno de Costa Rica 
establecio el CSIRT-CR (bajo el MICITT). El CSIRT- 
CR es el organismo nacional encargado no solo 
de la tarea de responder a los trastornos de la 
seguridad cibernetica, sino tambien de coordinar 
las funciones nacionales de mando y control. La 
entidad ha recibido asistencia tecnica de la OEA 
y de otros expertos regionales e internacionales y 
ha detectado y mitigado con exito las principales 


amenazas de seguridad cibernetica, sobre todo un 
ataque DoS en 2013 al Instituto Costarricense de 
Electricidad (ICE) originado en Rusia. Actualmente 
no existe un registro publico de incidentes, aunque 
el gobierno esta en el proceso de desarrollar uno. 
Costa Rica no tiene un ejercito permanente y la 
Fuerza Publica tiene estructuras y capacidades 
limitadas para construir capacidad de resiliencia 
cibernetica. 

El sector publico y las organizaciones de la 
infraestructura critica nacional han asumido y 
promovido normas de seguridad internacionales 
como la ISO/IEC 27001 pero el sector privado aim 
no las ha seguido y la falta de normas claras para 
el registro proveedores del servicio de Internet 
continua retrasando el avance de la seguridad 
cibernetica. Sin embargo, grupos como el ICE han 
presionado para tener estandares de desarrollo de 
software y el sector privado participa en el mercado 
de la seguridad informatica, mediante la inversion en 
sistemas de control de tecnologfa de la informacion 
y la discusion de la necesidad de contar con un 
seguro de delincuencia cibernetica. Por ultimo, 
se reconoce la importancia de la privacidad de 
los empleados en el sector privado y las politicas 
de privacidad empiezan a ser institucionalizadas. 

La sensibilizacion publica de la seguridad 
cibernetica es generalmente baja y la sociedad toma 
pocas medidas para protegerse de las amenazas 
ciberneticas. En respuesta a lo anterior, el ICE 
y otras fundaciones han liderado campanas de 
sensibilizacion, aunque con una difusion limitada 
y pocos mecanismos de medicion. Cada vez hay 
disponibles mas oportunidades para la educacion 
y formacion en seguridad cibernetica en Costa 
Rica a traves de programas de pregrado, maestrla 
y certificacion que ofrece la Universidad Cenfotec. 


!■ POBLACION TOTAL DEL PAIS 4.757.606 


] Abonos a telefonos celulares 7.101.893 


Personas con acceso a Internet 2.331.227 


Penetration de Internet 
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345dm Dominica (Commonwealth de) 


Polftica y estrategia 



Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



Aunque ha comenzado con muy poca infraestructura 
existente, el Gobierno del Commonwealth de 
Dominica ha dado grandes pasos en los ultimos anos 
para desarrollar una polftica y estrategia nacional 
de seguridad cibernetica. En coordinacion con la 
OEA, la Iniciativa de Delincuencia Cibernetica del 
Commonwealth (CCI, por sus siglas en ingles) y el 
Consejo de Europa (CoE, por sus siglas en ingles), 
Dominica ha disenado una propuesta de Estrategia 
Nacional de Seguridad Cibernetica. Ademas de 
describir los riesgos nacionales y las metas de 
desarrollo, la propuesta de estrategia define los 
mandatos para la creacion de un CSIRT nacional. 

La principal autoridad de lucha contra el delito 
cibernetico, el Departamento de Investigaciones 
Criminales de la Fuerza Policial del Commonwealth 
de Dominica, es la unica entidad encargada de 
controlar e investigar los casos de delincuencia 
cibernetica en el pais. A pesar de la falta de un 
laboratorio forense digital, ha logrado un exito 
considerable. Actualmente el gobierno del pais esta 
elaborando una ley integral de crimen cibernetico 
para ser adoptada en el Parlamento, y busca la 
adhesion a la Convencion del Consejo de Europa 
sobre la Delincuencia Cibernetica (comunmente 
conocida como la "Convencion de Budapest"), un 
tratado internacional. Sin embargo no existe, en 
gran medida, una legislacion sobre privacidad y 
proteccion de datos. 


Internacional deTelecomunicaciones, la resiliencia 
nacional y las gestiones de respuesta se llevan a cabo 
de manera informal, sin ninguna estructura global. 

Empresas Kderes, como instituciones financieras, 
y algunos servicios de comercio electronico han 
tornado medidas proactivas para aumentar la 
sensibilizacion del sector privado ante el phishing 
y otros ataques ciberneticos, y estan comenzando 
a institucionalizar los estandares de privacidad 
para los empleados. Sin embargo, la sociedad civil 
generalmente desconoce las amenazas ciberneticas. 
Como parte de su proyecto de estrategia, el Gobierno 
de Dominica esta desarrollando campanas de 
sensibilizacion para abordar este problema. 

El Centro de Capacitacion de Negocios del Dominica 
State College y un punado de instituciones academicas 
en linea y privadas ofrecen educacion y formacion 
relacionada con la seguridad cibernetica, pero sin la 
coordinacion o aportes del Ministerio de Educacion, 
o el establecimiento de alianzas publico-privadas. No 
obstante el Gobierno de Dominica ha organizado una 
serie de conferencias regionales e internacionales 
para compartir las mejores practicas en materia de 
seguridad cibernetica. 


Aunque su proyecto de estrategia describe riesgos 
nacionales importantes, Dominica no tiene una 
polftica de defensa cibernetica coordinada. 
En casos de eventos ciberneticos, las funciones 
de mando y control se manejan ad hoc por 
departamentos del gobierno. Mientras que los 
duenos de la infraestructura crftica entienden los 
riesgos de seguridad cibernetica y la tecnologia 
de la Infraestructura Crftica Nacional en general 
cumple con las normas internacionales de la Union 


!■ POBLACION TOTAL DEL PAIS 72.341 


] Abonos a telefonos celulares 92.200 


^ Personas con acceso a Internet 45.575 


Penetration de Internet 


□ 63 % 
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Ecuador 



.ec 


Poli'tica y estrategia 



Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



A pesar de que no ha desarrollado una estrategia 
nacional de seguridad cibernetica, Ecuador ha 
hecho avances en los ultimos anos para fortalecer su 
capacidad para abordar las amenazas informaticas. 
Ha designado a la Direccion de Arquitectura 
Tecnologica y Seguridad de la Informacion para 
la promocion de una plataforma de gobierno 
electronico y la coordinacion de la gestion de la 
seguridad cibernetica. El Centro de Operaciones 
Tecnologicas Estrategicas y Contrainteligencia 
de la Secretarla de Inteligencia se encarga de los 
aspectos tecnicos de la seguridad cibernetica del 
pals y un CSIRT nacional, el EcuCERT, entro en 
funcionamiento en noviembre de 2013. A finales 
de 2013 las entidades pusieron a prueba su temple 
cuando fueron alertados de una amenaza de un 
"hackaton", dirigida a la Secretarla de Inteligencia 
que afortunadamente no se materialize. Las fuerzas 
militares no han articulado una polltica de defensa 
cibernetica nacional, pero estan trabajando en 
la asignacion de los llderes para un programa. 
Sin embargo, el pals ha instituido medidas para 
proteger la infraestructura gubernamental de 
los ataques ciberneticos, incluido el Decreto 
166 que requiere que toda la tecnologia de la 
Administracion Publica Central cumpla con las 
normas de seguridad. 

La Ley n° 2002-67 proporciona el marco general 
de los delitos informaticos y el gobierno busca el 
apoyo de multiples partes interesadas para instituir 
reformas al Codigo Organico Integral Penal para 
abordar de manera mas adecuada la delincuencia 
cibernetica. El gobierno esta cerca de convertir 
en ley la proteccion de datos. La Constitucion del 
Ecuador establece las libertades de expresion y de 
prensa. Sin embargo, el nuevo Codigo Penal ha sido 
criticado por tener el potencial de limitar la libertad 
de expresion de los ciudadanos 13 . 


La Unidad de Investigacion del Cibercrimen de 
la Direccion Nacional de la Policla Judicial e 
Investigaciones se encarga de investigar los delitos 
ciberneticos. Esta coopera con INTERPOLy ha estado 
trabajando en el logro de una mayor cooperacion 
interinstitucional, fomentando el intercambio de 
informacion con el sector privado y la elaboracion 
de un programa de capacitacion en evidencia digital 
para la policla, los detectives y los tribunales. 

La falta de conciencia en la sociedad plantea uno de 
los mayores desaflos a la seguridad cibernetica en 
el pals. Los ataques ciberneticos se incrementaron 
significativamente en los ultimos anos pero la 
mayorla de los afectados no conoclan los medios 
mas eficaces para la denuncia de estos incidentes. 
Para solucionar este problema, la Secretarla de 
Inteligencia ha liderado la campana "Promocion de 
una cultura de inteligencia". Si bien las oportunidades 
de educacion en seguridad cibernetica son limitadas, 
la academia y el sector privado han presentado 
propuestas para el desarrollo de software y cursos 
de seguridad cibernetica. 


!■ POBLACION TOTAL DEL PAIS 15.902.916 


] Abonos a telefonos celulares 16.605.737 


Personas con acceso a Internet 6.838.254 


Penetration de Internet 
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sv El Salvador 


Poli'tica y estrategia 


Cultura y sociedad 



Educacion 



Marcos legates 



El Ministerio de Justicia y Seguridad Publica de 
El Salvador es el principal organismo nacional 
encargado de la seguridad cibernetica. Actualmente 
desarrolla una estrategia nacional de seguridad 
cibernetica pero aun no ha divulgado la propuesta 
completa. Tambien trabaja para asegurar que los 
datos del gobierno estan respaldados y que se 
practican los estandares de seguridad en todas 
las infraestructuras de Tl. El pals tiene un CSIRT 
nacional, el SalCERT, que responde a los ataques 
ciberneticos y coordina con otros equipos de 
respuesta regionales. El SalCERT ha tenido cierto 
exito en el seguimiento y la lucha contra amenazas, 
pero su capacidad es limitada debido a restricciones 
presupuestales. 

Aunque las Fuerzas Armadas de El Salvador 
han identificado riesgos y areas importantes de 
infraestructura a ser protegidas, no existe una 
polltica oficial de defensa cibernetica. Sin embargo 
el gobierno maneja formalmente la seguridad de la 
Infraestructura Crltica Nacional yesta planeando 
ejercicios de gestion de riesgos para establecer 
las funciones y responsabilidades e identificar las 
brechas en la seguridad cibernetica. 


delitos ciberneticos en el pals y se ha asociado con 
la Oficina de las Naciones Unidas contra la Droga y 
el Delito (ONUDD) para llevar a cabo ejercicios de 
construccion de capacidad. Dado que la Division de 
Ciberdelito no tiene un laboratorio forense digital, 
recibe apoyo tecnico del SalCERT y ha investigado 
con exito varios casos, entre ellos uno en el que 
atrapo a un depredador sexual involucrado en 
captacion infantil con fines sexuales (grooming). 

Con una tasa de penetracion de Internet del 
30%, la mayor parte de la sociedad salvadorena 
generalmente no es consciente de la seguridad 
cibernetica 14 . Hasta la fecha no ha habido 
campanas de sensibilizacion en el pals. Por otra 
parte, las universidades actualmente no tienen la 
capacidad de oferta de oportunidades de educacion 
en seguridad cibernetica pero el gobierno esta 
tratando de construir este tipo de programas. 
Por otro lado, el sector privado ha desarrollado 
una fuerte mentalidad en seguridad cibernetica 
y reconoce la necesidad de tener seguridad por 
parte de los servicios de comercio electronico y 
ofrece capacitacion en seguridad cibernetica a 
los empleados. 


Tecnologia 



La Asamblea Legislativa de El Salvador ha 
promulgado leyes sobre proteccion de datos y 
acceso a la informacion publica que establecen 
normas para la transparencia y la libertad de 
informacion asl como para la proteccion de la 
informacion personal de los ciudadanos. Tambien 
ha elaborado proyectos de ley sobre delincuencia 
cibernetica que estan en espera de adopcion. 
Existe un mecanismo formal para la solicitud de 
divulgacion por parte del sector privado en casos 
de delitos ciberneticos; sin embargo las solicitudes 
deben ser emitidas directamente desde la Fiscalla 
General de la Republica, lo que puede retrasar 
las gestiones de investigacion. La Division de 
Ciberdelito de la Policla Nacional Civil investiga los 


!■ POBLACION TOTAL DEL PAIS 6.107.706 


] Abonos a telefonos celulares 9.194.242 


^ Personas con acceso a Internet 1.832.312 


Penetracion de Internet 
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Granada 



■gd 
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Marcos legates 



Tecnologia 



En 2012 una asociacion entre el Gobierno 
de Granada y la Union Internacional de 
Telecomunicaciones evaluo el estado de preparacion 
en materia de seguridad cibernetica del pals e hizo 
recomendaciones para el desarrollo de pollticas 
mas firmes 15 . Desde 2012 Granada ha expresado la 
necesidad de tener un CSIRT nacional. La Comision 
Nacional Reguladora de Telecomunicaciones (NTRC, 
por sus siglas en Ingles) se encarga de desarrollar la 
estrategia y la polltica de seguridad cibernetica; sin 
embargo a 2015 no se han formado ni una estrategia 
nacional ni un CSIRT. La Comision Nacional 
Reguladora de Telecomunicaciones tambien ayuda 
a coordinar la seguridad para los operadores de la 
Infraestructura Crltica Nacional, pero las autoridades 
han informado que en la actualidad desempena un 
rol limitado. Mientras que el gobierno en general 
no esta capacitado en seguridad cibernetica, la 
Policla Real de Granada, la principal entidad del 
pals para la defensa cibernetica y la investigacion de 
delincuencia cibernetica, ha recibido capacitacion 
en seguridad cibernetica del Programa de Asistencia 
Antiterrorista del Gobierno de Estados Unidos. 

La division de las TIC de la Policla Real de Granada 
investiga las violaciones a la seguridad cibernetica 
y los delitos ciberneticos. Un miembro de la fuerza 
informo que desde 2012 hasta 2015 se investigaron 
21 casos. De aquellos que llegaron a la corte, uno 
fue procesado con exito y uno estaba en progreso. 
Sin embargo, la ausencia de un mecanismo de 
divulgacion formal para el sector privado puede 
obstaculizar las gestiones para descubrir la 
delincuencia cibernetica. Aunque la Policla Real de 
Granada cuenta con algunos equipos para el analisis 
forense digital, existe la necesidad de contar con 
actualizaciones de software y otras herramientas. 
Por otra parte, el Poder Judicial por lo general 
carece de la capacidad de corte digital necesaria 
para manejar evidencia electronica. 


En 2013 el Parlamento de Granada aprobo la Ley 
de Delitos Electronicos, que agrego formalmente 
el delito cibernetico al Codigo Penal y establecio 
procedimientos para su fiscalizacion. Como algunas 
disposiciones de la ley alentaron un escrutinio sobre 
su potencial para limitar las libertades civiles, el 
Parlamento decidio modificar dichas secciones con 
el fin de proteger la libertad de expresion. A pesar 
de que aun no ha sido adoptada, Granada tambien 
ha elaborado una legislacion para la proteccion de 
datos y la libertad de informacion. 

A medida que la conectividad a Internet se expande 
en Granada, se han puesto a disposicion muchos 
nuevos servicios de comercio electronico. Las juntas 
de directivos de las empresas privadas tienen una 
cierta comprension de la seguridad cibernetica 
y estan considerando la implementacion de 
mayores estandares de seguridad para las normas 
de tecnologia y privacidad de los empleados. 
Aunque la tecnologia de las infraestructuras 
crlticas nacionales pueden seguir las normas 
aplicadas por los desarrolladores iniciales, su 
funcionamiento a menudo se realiza bajo un control 
gubernamental limitado. Actualmente en el pals no 
hay programas de grado en seguridad cibernetica u 
otras oportunidades educativas relacionadas para 
los ciudadanos granadinos. 


m POBLACION TOTAL DEL PAIS 106.349 


] Abonos a telefonos celulares 134.500 


^ Personas con acceso a Internet 39.349 


Penetration de Internet 
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Guatemala 


ii 

Polftica y estrategia 


Cultura y sociedad 



Marcos legates 



Aunque entidades gubernamentales llderes 
han comenzado a darle prioridad a los asuntos 
de seguridad cibernetica y evaluar los riesgos 
nacionales, Guatemala no tiene una estrategia 
nacional de seguridad cibernetica expresa. Su 
principal entidad de seguridad cibernetica es el 
Equipo de Respuesta a Incidentes de Seguridad 
Informatica nacional, elCSIRT-gt, un equipo ad hoc 
que historicamente ha operado bajo el Ministerio 
de Defensa. El CSIRT-gt ha recibido capacitacion 
de la OEA y otras instituciones internacionales. 
Recientemente, el Ministerio de Gobernacion 
tambien ha mostrado interes en ir avanzando en 
los temas de seguridad cibernetica en Guatemala. 

Con la asistencia ofrecida por el CSIRT-gt, las 
fuerzas del orden tienen una cierta capacidad 
para investigar ataques y delincuencia ciberneticas, 
pero las autoridades manifiestan que hasta que 
no se cuente con una legislacion integral sobre 
delincuencia cibernetica, el sistema judicial tendra 
dificultades para procesar los casos eficazmente. 
Por otra parte, no existe una polftica de divulgacion 
y aparte de ciertas instituciones financieras, el 
sector privado rara vez informa al gobierno de 
eventos ciberneticos. Sin embargo el sector privado 
tiene su propia entidad de respuesta a incidentes, 
el CERT Cyberseg. 

A raiz de un aumento en ataques ciberneticos contra 
la infraestructura del gobierno en los ultimos anos, 
las entidades guatemaltecas han comenzado a 
tomar medidas para proteger sus activos nacionales, 
aunque con poca comunicacion formal 16 . Los 
operadores de la Infraestructura Crftica Nacional 
han desplegado algunas medidas de seguridad y 
software que cumplen con la norma ISO 27000 y 
otras normas internacionales. La infraestructura de 
tecnologla suele tercerizarse y el gobierno tiene 
un control mlnimo de la misma. 


Teniendo en cuenta que la tasa de penetracion de 
Internet en el pals es del 23% y que su poblacion es 
en gran parte rural, es inconsistente la asimilacion 
de una mentalidad de seguridad cibernetica 
en la sociedad 17 . Al mismo tiempo, el gobierno 
electronico y los servicios de comercio electronico 
en Guatemala han crecido considerablemente 
en los ultimos anos. Los miembros del Congreso 
han trabajado para abordar este tema mediante 
la formacion del Frente Parlamentario de las 
Tecnologlas de la Informacion y la Comunicacion, 
que ademas de promover la legislacion contra 
la delincuencia cibernetica, tiene como objetivo 
promover la conciencia de seguridad cibernetica 
y mejorar las normas y mejores practicas en el 
sector privado y la sociedad civil. 

Aunque Guatemala no cuenta con una estrategia 
a nivel nacional para el desarrollo de la educacion 
de seguridad cibernetica, una universidad tecnica 
y varias empresas privadas ofrecen tltulos y 
certificaciones en seguridad de la informacion. 
Ademas hay una serie de profesionales con 
certificacion CISSP ("Certified Information Systems 
Security Professional" en ingles). Los proximos pasos 
incluyen la implementacion de un programa de 
capacitacion conjunto publico-privado para los 
empleados del gobierno y del sector privado, que 
sera administrado por el CSIRT-gt en asociacion 
con un proveedor de servicios. 


!■ POBLACION TOTAL DEL PAIS 16.015.494 


] Abonos a telefonos celulares 16.911.811 


Personas con acceso a Internet 3.683.564 


Penetracion de Internet 
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Desde el ano 2013, Guyana y el resto de la region 
del Caribe han visto un aumento en los ataques 
ciberneticos 18 . En agosto de ese ano el Gobierno 
de Guyana establecio su Equipo de Respuesta a 
Incidentes de Seguridad Informatica nacional, el 
CSIRT.GY, ubicado bajo el Ministerio del Interior. 
Como mecanismo principal de respuesta a los 
incidentes relacionados con la seguridad cibernetica 
del pals, el CSIRT-GY presta la colaboracion en el 
lugar, la coordinacion de incidentes, analisis de 
incidentes, el soporte tecnico, documentacion y 
consejos sobre la seguridad cibernetica. Tambien 
coordina regularmente con la OEA y otros CSIRT 
nacionales para fortalecer la capacidad tecnica y 
compartir mejores practicas e informacion y esta 
comenzando a establecer Kneas de comunicacion 
con el sector privado. Sin embargo, el alcance 
del CSIRT-GY es limitado por la ausencia de una 
estrategia de seguridad cibernetica nacional o 
polftica de defensa cibernetica y la falta de 
conciencia sobre los asuntos de seguridad 
cibernetica en el gobierno. Por otra parte, los 
propietarios de la Infraestructura Crltica Nacional no 
siempre cumplen con los estandares de seguridad o 
denuncian los incidentes, y el Estado no ha evaluado 
formalmente los activos y vulnerabilidades de la ICN. 

Cuando se produce un delito cibernetico, el 
Departamento de Investigacion Criminal de la 
Policla de Guyana es responsable de investigar el 
caso. Aunque las investigaciones se han llevado a 
cabo con cierto exito, los fiscales y el Poder Judicial 
estan inadecuadamente capacitados para manejar 
evidencia electronica. Los vaclos legislatives son 
un obstaculo adicional: Guyana cuenta con algun 
derecho procesal para manejar la evidencia 
electronica, pero carece de una ley sustantiva de 
delito cibernetico o legislacion relacionada con la 
el mal uso del sistema de red de computadoras, 
privacidad y la proteccion de datos. 


A medida que crecen las oportunidades de banca en 
llnea y otros servicios de comercio electronico, las 
entidades del sector privado de Guyana comienzan a 
darle prioridad a la seguridad cibernetica como algo 
importante. En consecuencia, las partes interesadas 
han comenzado a invertir en la formacion de 
seguridad cibernetica para sus empleados, y no 
solo para aquellos con funciones de Tl. Actualmente 
el gobierno tiene una lista de profesionales ad hoc 
certificados en seguridad cibernetica. 

Por otro lado, en la sociedad civil la conciencia 
de seguridad cibernetica es generalmente baja. 
Aunque el CSIRT-GY ha explorado la posibilidad de 
realizar una campana de sensibilizacion, hasta la 
fecha ni esta ni ninguna otra entidad han liderado 
una. Por ultimo, la educacion superior ofrece tltulos 
en ciencias informaticas; sin embargo la estrategia 
nacional de educacion de Guyana no incluye temas 
de seguridad cibernetica en sus planes de estudio. 

Recientemente el gobierno mostro su compromiso 
para avanzar en la agenda de la seguridad 
cibernetica organizando un taller nacional sobre 
las amenazas y las tendencias de seguridad 
cibernetica, eldesarrollo de una estrategia nacional 
de seguridad cibernetica y capacitacion tecnica 
sobre herramientas de respuesta a incidentes 19 . 


!■ POBLACION TOTAL DEL PAIS 763.893 


] Abonos a telefonos celulares 566.905 


^ Personas con acceso a Internet 282.640 


Penetration de Internet 
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Aunque se encuentran con recursos limitados y 
ha habido algunos reveses en los ultimos anos, 
las entidades del Gobierno de Haiti continuan 
trabajando hacia la elaboracion de una estrategia 
nacional de seguridad cibernetica y el desarrollo de 
un CSIRT nacional. Un grupo de trabajo conformado 
por la unidad de gobierno electronico del Gabinete 
del Primer Ministro (PRIMATURE), el Consejo 
Nacional de Telecomunicaciones (CONATEL), la 
Policia Nacional y la Secretarfa para la Seguridad 
Nacional se ha reunido para establecer el marco 
para una estrategia nacional y han recibido 
asistencia de la OEA, la Union Internacional de 
Telecomunicaciones y otros socios internacionales. 
Recientemente se establecio un grupo de trabajo 
dentro del CONATEL con el mandato de elaborar 
un plan estrategico y un plan de trabajo para la 
seguridad cibernetica y la lucha contra el delito 
cibernetico. 

Si bien el conocimiento sobre la seguridad 
cibernetica en el gobierno es cada vez mayor, 
la preparacion varia segun las agencias. Esto es 
notorio en la falta de aplicacion uniforme de las 
normas de seguridad a traves de las infraestructuras 
de Tl. Sin embargo la principal preocupacion 
del CONATEL ha sido la necesidad de tener una 
capacidad de respuesta a incidentes ciberneticos y 
se ha coordinado con el sector privado para abogar 
por la creacion de un CSIRT. 


que se resuelva esta crisis poli'tica, sera muy dificil 
que el pais adopte un marco juridico integral para la 
delincuencia cibernetica. No obstante, la Direccion 
Central de la Policia Judicial (DCPJ) ha tenido un 
exito considerable en la investigacion y detencion de 
la delincuencia cibernetica por medio de la captura 
de 69 delincuentes en 2014, de los cuales 11 fueron 
declarados culpables de delitos relacionados con 
la cibernetica. 

Con una tasa de penetracion de Internet del 
11%, la conciencia de seguridad cibernetica en la 
sociedad haitiana es predominantemente baja 21 . 
Para solucionar esto, el CONATEL ha llevado a cabo 
una serie de eventos para brindar conocimientos 
a las partes interesadas y al publico en general 
sobre la seguridad cibernetica. Asi mismo algunas 
universidades ofrecen cursos relacionados con la 
seguridad cibernetica, pero actualmente no hay 
programas de grado formates. Areas del sector 
privado, como los bancos y los operadores de 
telecomunicaciones, estan bien informados de 
la importancia de la seguridad cibernetica y han 
invertido en oportunidades de formacion para los 
empleados. Mientras que los servicios de gobierno 
electronico estan empezando a llegar al pals recien 
ahora, los servicios de comercio electronico estan 
ampliamente disponibles y por lo general son 
confiablesy seguros. 


Como parte del Proyecto HIPCAR de la Union de 
Telecomunicaciones del Caribe (CTU) y la Comunidad 
del Caribe (CARICOM), las partes interesadas 
haitianas han propuesto legislacion sobre la 
delincuencia cibernetica y leyes de privacidad de 
Internet que se encuentran actualmente en la fase 
de consulta. Sin embargo, las gestiones legislativas 
se han estancado dado el desacuerdo sobre las 
elecciones que llevo a la disolucion de la mayoria 
del Parlamento de Haiti en enero de 2015 20 . Hasta 


!■ POBLACION TOTAL DEL PAIS 10.572.029 


] Abonos a telefonos celulares 6.769.312 


^ Personas con acceso a Internet 1.162.923 


Penetracion de Internet 


□ 11 % 
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A falta de una politica nacional de seguridad 
cibernetica o un equipo de respuesta a incidentes, 
el Gobierno de Honduras tiene una capacidad 
limitada para abordar de manera proactiva las 
amenazas a su seguridad cibernetica. Como conoce 
estos riesgos, el gobierno ha adoptado una serie 
de medidas, entre ellas: trabajar para renovar su 
estrategia de seguridad nacional para incluir los 
temas de seguridad y delincuencia cibernetica; 
asistir a foros internacionales ofrecidos por la OEA 
y otras instituciones en cuestiones de planificacion 
de gestion de crisis; e incorporar programas digitales 
en organismos como la Comisibn Nacional de 
Telecomunicaciones (CONATEL) y la Direccion 
Presidencial de Gestion por Resultados a cargo de 
la "Agenda Digital" del Estado. Asi mismo, las partes 
interesadas de la Infraestructura Crltica Nacional 
estan implementando tecnologlas de seguridad 
y normas internacionales, incluyendo ISACA, ISO 
27002 e ITIL ("Information Technology Infrastructure 
Library” en ingles), para proteger mejor los activos 
nacionales. Sin embargo la gestion de tecnologlas 
de seguridad es descoordinada y a menudo se 
subcontrata con terceros y no existe una politica 
en marcha para la divulgacion de las violaciones 
a la seguridad. 

Honduras carece de un marco legislative para 
la seguridad de las TIC; su legislatura esta 
actualmente llevando a cabo reformas al codigo 
penal que introducirlan leyes contra la delincuencia 
cibernetica. La Direccion Nacional de Informacion 
Criminal de la Policla Nacional es la unica entidad 
del pals responsable de investigar los delitos 
ciberneticos, pero carece de un laboratorio forense 
digital o estadlsticas nacionales sobre delincuencia 
cibernetica. 


de expresion. Con un bajo nivel de penetracion 
de Internet (18%) y altos niveles de violencia 
relacionada con pandillas, la sociedad en general 
desconfla de los servicios en llnea proporcionados 
por el gobierno y en su mayorla desconoce las 
amenazas ciberneticas 22 . 

El sector privado proporciona un contraejemplo en 
terminos de mentalidad en seguridad cibernetica. 
Con el apoyo del gobierno, algunas organizaciones 
privadas del sector financiero en Honduras han 
establecido polfticas de alto nivel y pautas de 
seguridad cibernetica para sus organizaciones. Estos 
documentos proporcionan una politica de seguridad 
cibernetica en general para los empleados dentro 
de estas organizaciones. Sin embargo aun no se 
han implementado, de manera efectiva, medidas 
para proteger la privacidad de los empleados. 
Por ultimo, aunque la formacion en materia de 
seguridad cibernetica no esta muy extendida a 
nivel nacional, muchas empresas internacionales 
de Tl y algunas universidades ofrecen cursos y 
capacitacion en seguridad cibernetica para los 
estudiantes y empleados hondurenos. 


El Gobierno de Honduras ha promulgado una 
legislacion parcial respecto a la privacidad, la 
proteccion de datos y la proteccion de la libertad 


!■ POBLACION TOTAL DEL PAIS 7.961.680 


] Abonos a telefonos celulares 7.725.092 


^ Personas con acceso a Internet 1.512.719 


Penetracion de Internet 


□ 19 % 
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En 2013 el Gobierno de Jamaica no tenia en marcha 
ni una polftica ni una estrategia de seguridad 
cibernetica. Dos anos despues, ya ha disenado una 
estrategia nacional integral, presentada el 28 de 
enero de 2015, y se encuentra creando un CSIRT 
nacional. A la cabeza de estos desarrollos esta el 
Grupo Nacional de Trabajo de Seguridad Cibernetica, 
establecido bajo el Ministerio de Ciencia, Tecnologia, 
Energfa y Minerfa. El Programa de Seguridad 
Cibernetica de la OEA y otras organizaciones 
internacionales han ayudado a Jamaica en el 
desarrollo de su CSIRT. Cabe destacar que a rafz 
de una serie de ataques ciberneticos contra sitios 
web del gobierno a finales de 2014, la OEA envio 
un equipo de expertos a Kingston para dar apoyo 
en la gestion de incidentes 23 . Las autoridades de 
defensa cibernetica han recibido capacitacion 
despues de este incidente, pero a diferencia del 
gobierno civil, no cuentan con una polftica unificada. 
Los proximos grandes retos en seguridad cibernetica 
para el Gobierno de Jamaica seran asegurar la 
adhesion generalizada a los estandares y coordinar 
la seguridad de la Infraestructura Crftica Nacional, 
ya que los operadores tienen cierta capacidad 
para proteger sus infraestructuras crfticas frente a 
las amenazas, pero la seguridad no es gestionada 
formalmente por el gobierno. 

En marzo de 2010 Jamaica aprobo la Ley de 
Delitos Ciberneticos. En 2013 el Parlamento, en 
correspondencia con los cambios en la tecnologia y 
las amenazas, organizo una comision para informar 
sobre el estado de la legislacion y hacer revisiones 
segun era necesario. La Unidad de Comunicacion 
Forense y Delito Cibernetico del Cuerpo de Policfa 
de Jamaica es un organismo completamente 
funcional en la aplicacion de la ley, designado 
para investigar los delitos ciberneticos. La Unidad 
de Comunicacion Forense y Delito Cibernetico tiene 
su propio laboratorio de analisis forense digital. Uno 
de los retos al que se enfrentan las fuerzas del orden 


publico es el subregistro de incidentes por parte de 
las partes afectadas; por lo tanto el Ministerio de 
Ciencia, Tecnologia, Energfa y Minerfa ha estado 
presionando a la legislatura para que entre en 
vigencia una ley de divulgacion responsable. Por 
ultimo, aunque Jamaica cuenta con una legislacion 
especffica de delincuencia cibernetica, solo existe 
una legislacion parcial para la proteccion de datos 
y privacidad. 

Empresas del sector privado han comenzado a 
gestionar los riesgos de seguridad cibernetica y 
poner en practica polfticas de privacidad para los 
empleados, pero la conciencia de la importancia de 
la seguridad cibernetica varfa considerablemente 
en la sociedad en general. Para hacer frente a 
este tipo de vacfos en el conocimiento, el Grupo 
Nacional de Trabajo de Seguridad Cibernetica tiene 
un Memorando de Entendimiento con el programa 
STOP.THINK.CONNECT. de la Alianza Nacional de 
Seguridad Cibernetica, una campana internacional 
dirigida a educar al publico acerca de la seguridad en 
Internet. Ademas la Estrategia Nacional de Seguridad 
Cibernetica de Jamaica incluye un mandato para 
incorporar la seguridad cibernetica en los programas 
de educacion que actualmente se encuentra en sus 
etapas preliminares. 


!■ POBLACION TOTAL DEL PAIS 2.721.252 


] Abonos a telefonos celulares 2.880.589 


^ Personas con acceso a Internet 1.115.713 
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I’l.mx Mexico 
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Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologfa 



El Gobierno de Mexico trabaja actualmente en 
la elaboracion de una estrategia nacional de 
seguridad cibernetica, desarrollando una polftica 
escrita que considera la defensa cibernetica a cargo 
de las Fuerzas Armadas. El Equipo de Respuesta 
a Incidentes de Seguridad Informatica del pais, 
CERT-MX, es un miembro del Foro Mundial de 
Respuesta a Incidentes y Equipos de Seguridad 
(FIRST) y sigue un Protocolo de Colaboracion 
con otras entidades gubernamentales. El CERT- 
MX esta muy involucrado en la proteccion de 
la Infraestructura Crftica Nacional (ICN). Los 
interesados coordinan la gestion de seguridad de 
infraestructuras y comparten informacion sobre los 
activos y las vulnerabilidades de la ICN. En todas 
las agencias gubernamentales, las tecnologfas 
se actualizan regularmente, se realizan copias 
de seguridad y se adhiere a las disposiciones del 
Manual Administrative de Aplicacion General de 
Tecnologfas de Informacion y Comunicaciones y de 
Seguridad de la Informacion (MAAGTICSI), el cual 
se desarrollo con base a normas internacionales 
como ISO 27001, ITIL ("Information Technology 
Infrastructure Library" en ingles) y COBIT ("Control 
Objectives for Information and Related Technology" 
en ingles), entre otras. Por otra parte, estan en 
marcha planes de redundancia digital. 

La Division Cientffica de la Policfa Federal de Mexico 
investiga los delitos ciberneticos nacionales. T rabaja 
en estrecha colaboracion con el CERT-MX y ha 
recibido capacitacion por parte de organizaciones 
sin animo de lucro y de varias organizaciones 
internacionales. Informes recientes indican un 
aumento de la suplantacion de identidad (phishing) 
y amenazas persistentes avanzadas en el pafs y 
una disminucion de los ataques de denegacion 
de servicio DoS (por sus siglas en ingles, Denial of 
Service). Si bien las fuerzas del orden cuentan con 
una amplia capacidad de investigacion, Mexico 
aun esta desarrollando una legislacion integral 


sobre delincuencia cibernetica, lo que dificulta el 
enjuiciamiento de tales actos. 

Con una tasa de penetracion de Internet del 44%, se 
requiere emprender un esfuerzo para informar a la 
sociedad mexicana sobre los problemas de seguridad 
cibernetica. Instituciones gubernamentales y la 
academia ofrecen conferencias sobre seguridad 
cibernetica. 24 Tambien estan disponibles algunas 
oportunidades de capacitacion para empleados, 
incluyendo programas de certificacion a traves 
del sector privado. Recientemente el Instituto 
Nacional de Transparency, Accesoa la Informacion 
y Proteccion de Datos Personates (INAI) inicio 
una campana proponiendo leyes mas estrictas 
de proteccion de datos personates, asf como una 
mayor transparencia y disponibilidad de informacion 
al publico. Ademas de su labor de promocion, el 
INAI publica informes y conduce campanas de 
sensibilizacion para los ciudadanos sobre sus 
derechos como usuarios de las tecnologfas de la 
informacion y la comunicacion. 


!■ POBLACION TOTAL DEL PAIS 125.385.833 


] Abonos a telefonos celulares 102.187.895 


^ Personas con acceso a Internet 55.169.767 


Penetracion de Internet 
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Marcos legates 



Tecnologia 



El Consejo Nicaraguense de Ciencia y Tecnologia 
(CONICYT) trabaja en el desarrollo de pollticas 
nacionales y el aumento de la conciencia de 
seguridad cibernetica, mientras que la Comision 
de Gobierno Electronico de Nicaragua (GOBeNIC) 
adelanta programas de gobierno electronico y 
facilita la discusion entre el gobierno y las industrias 
de infraestructura crltica. Hasta la fecha, Nicaragua 
no ha desarrollado una estrategia o polltica de 
seguridad cibernetica nacional y el pals no tiene 
un CSIRT formal para responder a incidentes 
ciberneticos. El CONICYT y la GOBeNIC, por lo 
tanto, ven como parte indispensable de su mision 
convencer a legisladores y altos funcionarios del 
gobierno de invertir mucho mas en seguridad 
cibernetica y promulgar pollticas, leyes y normas 
para proteger mejor los intereses nacionales frente 
a las amenazas ciberneticas. 

El Codigo Penal de Nicaragua contiene clausulas para 
judicializar la delincuencia cibernetica y en 2012 la 
Asamblea Nacional sanciono la Ley de Proteccion 
de Datos n° 787. Si bien no hay una oficina formal 
de investigacion de delincuencia cibernetica, la 
Division de Crlmenes Especiales y la Direccion de 
Inteligencia Policial de la Policla Nacional manejan 
rutinariamente los casos de evidencia electronica. La 
Policla Nacional tambien cuenta con un Laboratorio 
Central de Criminallstica, que les proporciona 
analisis forense digital a las otras divisiones. Si 
bien el personal ocasionalmente colabora con 
organizaciones regionales e internacionales, cuyo 
ejemplo notable es el caso en el que INTERPOL y 
Nicaragua cooperaron con Espana para revelar 
toda una red de pedofilia, en general la cooperacion 
internacional sigue siendo limitada. 


a revelar brechas en la seguridad cibernetica. 
En cambio, los investigadores deben solicitar 
formalmente informacion de los proveedores 
de servicios de Internet pertinentes. Un estudio 
realizado en 2014 por la empresa de software de 
antivirus ESET mostro que al menos el 50% de todas 
las empresas nicaragiienses han sido objeto de un 
ataque cibernetico 25 . Si bien las empresas en general 
aplican los estandares de seguridad, a menudo no 
capacitan a los empleados en seguridad cibernetica; 
sin embargo un numero de universidades ofrecen 
cursos y capacitacion especializada en el tema. 

En mayo de 2015 el CONICYT se asocio con la 
academia y el sector privado para poner en marcha 
por primera vez la Semana del Uso Seguro de 
Internet, una serie de charlas, foros y actividades 
dedicados a concientizar al publico sobre seguridad 
cibernetica y promover mejores practicas para el 
uso seguro de las Tl 26 . 


Aunque el Codigo Penal exige que cualquier persona 
comparta informacion relacionada con un delito 
en investigacion con las autoridades competentes, 
el sector privado no esta legalmente obligado 


I* POBLACION TOTAL DEL PAIS 5.945.646 


] Abonos a telefonos celulares 7.067.860 


^ Personas con acceso a Internet 1.070.216 


Penetration de Internet 


□ 18 % 
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■^.pa Panama 
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Marcos legates 



Tecnologia 



Desde mayo de 2013, el Gobierno de Panama ha 
estado trabajando en la implementacion de su 
Estrategia Nacional de Seguridad Cibernetica y 
Proteccion de Infraestructura Crltica (ENSC+IC), 
desarrollada por la Autoridad Nacional para 
la Innovacion Gubernamental (AIG). Este 
documento, junto con un informe de posicion 
titulado "La Resiliencia de la Infraestructura 
Crltica, Proteccion de Menores en Internet y 
Seguridad Cibernetica", establece metas y disena 
papeles y responsabilidades. Desde entonces, 
las entidades del gobierno han comenzado las 
etapas iniciales del desarrollo de planes internos 
de seguridad cibernetica. Las publicaciones tambien 
intentan abordar la falta de conciencia entre 
las partes interesadas acerca de la proteccion 
de la Infraestructura Crltica Nacional (ICN); y 
las autoridades han indicado que esta es una de 
sus principales preocupaciones. A pesar de que 
se practican algunos estandares de seguridad, 
en la actualidad existe poca coordinacion entre 
los operadores para la proteccion de la ICN. El 
Gobierno ha establecido medidas de redundancia 
digital. Asl mismo, empieza a liderar la formacion 
en gestion de crisis para los equipos de respuesta 
y los operadores de la ICN. En el caso de un ataque 
cibernetico o evento relacionado, el CSIRT PANAMA 
es el organismo encargado de responder y mitigar 
el incidente. 


Panama se ocupa de los casos de delincuencia 
cibernetica en dos frentes: a traves de la Unidad 
de Investigaciones de Delitos Informaticos, 
dependiente de la Direccion de Investigacion 
Judicial, y a traves de la Fiscalla Superior 
Especializada en Delitos contra la Propiedad 
Intelectual y Seguridad Informatica. Las autoridades 
han indicado un fuerte aumento de los ataques 
ciberneticos en los ultimos ahos, con 262 casos 
en 2013. A pesar de que no existe un mecanismo 
que les exija a las empresas del sector privado 
reportar perturbaciones a su seguridad cibernetica, 
las autoridades trabajan en estrecha colaboracion 
con bancos, proveedores de energla hidroelectrica 
y otros sectores de infraestructura crltica para 
obtener informacion sobre ataques ciberneticos. 

Una serie de instituciones, incluyendo la Universidad 
Tecnologica de Panama, ofrecen tltulos avanzados 
en seguridad cibernetica. Estan disponibles en el 
pais otras oportunidades de educacion y formacion. 
Mientras que muchas se ofrecen sobre una base ad 
hoc, grupos como el Instituto Tecnologico del Istmo 
(ITI) ofrecen capacitacion regular al personal de 
infraestructura crltica y los servicios de emergencia. 
En 2013 Panama se unio a la campana internacional 
STOP.THINK.CONNECT, que tiene como objetivo 
promover practicas seguras en Internet. 


Con enmiendas al codigo penal del pals y leyes 
relativas a la obtencion de evidencia, Panama ha 
actualizado la legislacion nacional para combatir 
mas eficazmente la delincuencia cibernetica. A 
partir de 2009 tambien han entrado en vigor leyes 
de proteccion de datos. En 2014 Panama adhirio 
oficialmente al Convenio de Budapest, el primer 
tratado internacional para abordar la delincuencia 
cibernetica. 


!■ POBLACION TOTAL DEL PAIS 3.867.833 


] Abonos a telefonos celulares 6.205.238 


^ Personas con acceso a Internet 1.740.525 
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La Secretaria Nacional de Tecnologias de la 
Informacion y Comunicacion (SENATICS) de 
Paraguay esta a cargo de la elaboracion de las 
politicas de seguridad cibernetica nacionales. 
El Gobierno de Paraguay no ha adoptado una 
estrategia nacional de seguridad cibernetica pero 
ha estado trabajando con la OEA desde noviembre 
de 2014 para desarrollar una. Bajo la operacion 
de la SENATICS, el Equipo de Respuesta de 
Incidentes de Seguridad Informatica de Paraguay, 
CERT-py, responde a los ataques ciberneticos, 
mantiene un registro central de los incidentes 
de seguridad cibernetica nacional y promueve la 
concientizacion sobre la seguridad cibernetica. Ha 
recibido capacitacion de la OEA y del Programa 
de Asistencia Antiterrorista del Departamento de 
Estado de EE.UU. Aunque fueron Limitados Los datos 
recibidos por parte de los proveedores de servicios 
de Internet y el sector bancario, en 2014 el CERT-py 
observo un aumento de ataques de Denegacion 
de Servicio (DoS) y el hacking todavia constituye 
el mayor porcentaje de ataques. 

Los operadores de la Infraestructura Critica Nacional 
(ICN) han comenzado a poner en practica las normas 
y tecnologias para defender mejor los activos del 
pais contra amenazas ciberneticas. Sin embargo 
la ICN se gestiona de manera informal y ha habido 
poca discusion entre las partes interesadas en 
gestion de riesgos y planificacion de respuesta a 
emergencias. 


relacionados con la seguridad cibernetica ha tenido 
poco exito. Consecuentemente, el gobierno ha 
establecido lineas mas fuertes de comunicacion con 
el sector bancario. Si bien las leyes relacionadas 
con la proteccion de datos y privacidad estan en 
marcha, muchas no son recientes y no abordan 
explicitamente la informacion digital. La Unidad 
Especializada de Delitos Informaticos de la Policia 
Nacional se encarga de investigar los delitos 
ciberneticos y cuenta con su propio laboratorio 
de analisis forense digital. 

Las autoridades paraguayas han senalado la falta 
de conciencia de la sociedad y del sector privado 
en temas de seguridad cibernetica. Para abordar 
este vacio en el conocimiento, SENATICS lanzo la 
campana Conectate Seguro Paraguay que le informa 
a la sociedad sobre las amenazas ciberneticas 
con un enfoque especial en la seguridad de los 
jovenes. El Gobierno tambien se ha asociado con 
STOP.THINK.CONNECT. Algunas instituciones de 
educacion superior ofrecen cursos en seguridad 
cibernetica, pero actualmente no existen programas 
de grado en este campo. 


En los ultimos anos, el Gobierno del Paraguay ha 
aprobado leyes para reforzar el marco legislative 
y afrontar los delitos ciberneticos. La Ley n° 4439 
de 2011 modified el codigo penal para incluir 
tipos de delito cibernetico, asl como pornografia 
infantil. Ademas la Ley n° 1286/98 establece que 
las entidades estan obligadas a reportar los hechos 
punibles por ley a las autoridades nacionales 
competentes. Sin embargo su aplicacion en delitos 


!■ POBLACION TOTAL DEL PAIS 6.552.518 


] Abonos a telefonos celulares 7.305.277 


^ Personas con acceso a Internet 2.817.583 
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Marcos legates 



Peru 


Con mas de 12 millones de usuarios de Internet (el 
40% de la poblacion del pals), Peru es un eje regional 
de actividad y comercio digital y en consecuencia, 
con riesgos a la seguridad cibernetica 27 . Los 
datos muestran que los incidentes ciberneticos 
aumentaron un 30% en 2013 y el pals experimento 
tambien un incremento de los ataques de malware 
durante la Copa Mundial de 2014, que se celebro 
en Brasil. Afortunadamente el Equipo de Respuesta 
a Incidentes de Seguridad Informatica del Peru, 
PeCERT, respondio con exito a estos ataques. 
Ademas de la respuesta a incidentes, el PeCERT 
tambien analiza los asuntos de seguridad con la 
policla, las fuerzas militares y el sector privado, y 
esta actualizando y ampliando sus capacidades. El 
Gobierno de Peru ha solicitado la asistencia tecnica 
de la OEA para desarrollar un marco de seguridad 
cibernetica para el pals, para lo cual la Oficina 
Nacional de Gobierno Electronico e Informatica 
(ONGEI) ha asumido la responsabilidad. Mientras 
que la conciencia de las partes interesadas ha 
aumentado con gestiones recientes, la ausencia 
de una estrategia y una cadena de mando clara 
continuan impidiendo el fortalecimiento de la 
seguridad cibernetica del pals. Las fuerzas armadas 
tambien tienen un nivel basico de capacidad de 
defensa cibernetica, pero no existe una polltica de 
defensa cibernetica. 

Tres piezas clave de legislacion gulan el marco 
legal para la seguridad cibernetica del Peru: la Ley 
27309, que incluyo la delincuencia cibernetica en el 
codigo penal; la Ley 29733 de Proteccion de Datos; 
y la Ley 30096, que establecio normas jurldicas 
relacionadas con la delincuencia cibernetica. 
La Division de Investigacion de Delitos de Alta 
Tecnologla (DIVINDAT) de la Policla Nacional del 
Peru (PNP) es la unidad maxima para el manejo de 
la delincuencia cibernetica de esta nacion. Equipada 
con capacidad de laboratorio forense, la DIVINDAT 
descubrio una serie de recientes ataques ciberneticos 


dirigidos contra instituciones gubernamentales 
de alto nivel. Entre los constantes desaflos que se 
enfrentan, cabe citar su limitada capacidad tecnica 
para el manejo de evidencia electronica en los 
tribunales y la falta de una polltica de divulgacion 
para el sector privado. 

El sector privado y los operadores de infraestructura 
crltica nacional han adoptado algunas normas de 
seguridad, incluyendo procesos de desarrollo de 
software. La ONGEI tambien proporciona directrices 
sobre la gestion de crisis; sin embargo el alcance de 
denuncia responsable sigue siendo bajo, ya que las 
tecnologlas de seguridad y la Infraestructura Crltica 
Nacional (ICN) son gestionadas de manera informal. 
Las entidades peruanas estan discutiendo la 
posibilidad de contar con un seguro de delincuencia 
cibernetica y otros mecanismos para proteger 
mejor la ICN. 

Mientras que los servicios de gobierno electronico 
y comercio electronico continuan expandiendose 
en el Peru, la conciencia social de la seguridad 
cibernetica es generalmente baja. La ONGEI 
ofrece literatura en llnea sobre este tema pero 
no hay una amplia campana de sensibilizacion que 
este actualmente vigente. Muchas universidades 
nacionales y empresas privadas ofrecen educacion y 
capacitacion en seguridad cibernetica. Sin embargo, 
suele carecerse de tecnologla adecuada y personal 
educativo con experiencia. 


!■ POBLACION TOTAL DEL PAIS 30.973.148 


] Abonos a telefonos celulares 31.666.244 


Personas con acceso a Internet 12.389.259 
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Aunque la Republica Dominicana no tiene ninguna 
estrategia nacional de seguridad cibernetica, ni 
una polftica coordinada de defensa cibernetica, un 
numero de entidades trabajan conjuntamente para 
abordar las cuestiones de seguridad cibernetica 
en virtud de la Comision Interinstitucional contra 
Crimenes y Delitos de Alta Tecnologia (CICDAT). 
A pesar de la participacion de las agencias en 
la CICDAT, el nivel de sensibilizacion sobre la 
seguridad cibernetica dentro del gobierno 
es generalmente bajo. Recien ahora estan 
comenzando los operadores de Infraestructura 
Crltica Nacional (ICN) a adherirse a los estandares 
internacionales de tecnologlas de informacion (Tl) 
y a adoptar tecnologlas de seguridad. Sin embargo, 
los operadores de la ICN tienen La capacidad basica 
de detectar, identificar, proteger, responder y 
recuperarse de amenazas ciberneticas. 

Con la aprobacion de la Ley 53-07 y la Ley 310- 
13, asl como la adhesion al Convenio sobre 
Delincuencia Cibernetica (Convenio de Budapest), 
la Republica Dominicana ha desarrollado un 
marco legislativo global para la penalizacion de 
la delincuencia cibernetica y el manejo de evidencia 
electronica, la regulacion de correo SPAM y el 
establecimiento de cooperacion internacional. 
Por otra parte, los tribunales tienen la formacion 
y capacidad suficientes para procesar los casos de 
evidencia electronica. Sin embargo, solo existe una 
legislacion parcial en lo que respecta a la privacidad 
en Internet y la libertad de expresion. 


respuesta a incidentes ciberneticos y coordina 
regularmente con INTERPOL y los CSIRT de otros 
palses. Por ultimo, el gobierno esta mejorando 
la colaboracion con el sector privado al divulgar 
infracciones ciberneticas y proporcionar informes 
de vulnerabilidad. 

Dada la creciente cantidad de usuarios de Internet y 
disponibilidad de servicios de comercio electronico, 
la Republica Dominicana se enfrenta cada vez mas a 
amenazas ciberneticas. El gobierno del pais reporto 
963 casos de suplantacion de identidad (phishing) en 
2013, asl como 432 casos de robo de datos bancarios 
entre 2009 y 2014 28 . A pesar de la iniciativa "Internet 
Sano" (http://www.lnternetsano.do) del Instituto 
Dominicano de las Telecomunicaciones (INDOTEL), 
la sensibilizacion del sector privado sobre seguridad 
cibernetica es moderada y la conciencia social 
acerca de estos asuntos sigue siendo baja. No 
obstante, las empresas privadas estan reconociendo 
la privacidad del empleado como un asunto 
importante y se encuentran adoptando medidas 
de proteccion. El gobierno y la academia tambien 
estan trabajando para crear programas pertinentes, 
dadas las limitadas oportunidades para educacion 
y formacion en seguridad cibernetica del pais. 


El Departamento de Investigacion de Crimenes y 
Delitos de Alta Tecnologia (DICAT) de la Policla 
Nacional y la Division de Investigaciones de Delitos 
Informaticos (DIDI) del Departamento Nacional 
de Investigaciones (DNI) son las dos principales 
entidades de investigacion de crimenes ciberneticos 
en el pals. Como la Republica Dominicana no tiene 
un CSIRT nacional, el DICAT tambien maneja la 


!■ POBLACION TOTAL DEL PAIS 10.405.943 


] Abonos a telefonos celulares 8.303.536 


^ Personas con acceso a Internet 5.202.972 
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Con una penetracion de Internet de alrededor del 
65%, Saint Kitts y Nevis es uno de los pafses mas 
conectados del Caribe 29 . Los ciudadanos tienen 
acceso a un numero cada vez mayor de servicios 
de gobierno electronico y comercio electronico. 
En algunas zonas las capacidades de seguridad 
cibernetica aun no han igualado las necesidades 
de la creciente comunidad en Ifnea. Saint Kitts y 
Nevis no cuenta ni con una estrategia nacional de 
seguridad cibernetica ni una polftica de defensa 
cibernetica. Los asuntos de seguridad cibernetica 
son manejados principalmente por el Ministerio 
del Empoderamiento de la Juventud, Deportes, 
Tecnologia de Informacion y Comunicaciones, y 
Correos, que se ocupa de los asuntos de TIC de 
manera mas general. Las partes interesadas han 
tornado medidas para proteger la Infraestructura 
Crftica Nacional (ICN) de las amenazas ciberneticas, 
lo cual incluye actualizar la tecnologia de 
seguridad, cumplir con las especificaciones de 
software y mantenerse informado de los activos 
y las vulnerabilidades de la ICN. Sin embargo 
el gobierno tiene una capacidad limitada para 
responder a los incidentes ya que no ha creado un 
CSIRT. Para solucionar este problema, en marzo 
de 2015 Saint Kitts y Nevis envio funcionarios a 
un Curso de Formacion de Seguridad Cibernetica 
TRANSITS de la OEA, organizado en colaboracion 
con la Asociacion de Redes Transeuropeas de 
Investigacion y Educacion (TERENA, por sus siglas 
en ingles), que se dedica al desarrollo de CSIRT 
nacionales. 


electronicas. La Oficina Local de Inteligencia de 
la Policfa Real de Saint Kitts y Nevis, que se coordina 
con INTERPOL, se ocupa de los casos de delitos 
ciberneticos, entre otras funciones. Si bien la policfa 
tiene cierta capacidad para investigar los delitos 
ciberneticos, debe externalizar el analisis forense 
digital. La falta de una polftica de divulgacion para 
las empresas del sector privado complica aun mas 
la investigacion de los delitos ciberneticos. 

Dadas las abundantes oportunidades de comercio 
electronico del pais, la administracion del sector 
privado es cada vez mas consciente de las 
amenazas a la seguridad cibernetica y ha iniciado 
una planificacion de gestion de riesgos. Por ejemplo, 
empresas como la multinacional LIME, un proveedor 
de servicios de comunicaciones, les exige a sus 
empleados someterse a capacitacion en seguridad 
cibernetica. 

Con el fin de aumentar la conciencia de seguridad 
cibernetica en el Caribe, Saint Kitts y Nevis organizo 
una reunion regional publico-privada en septiembre 
de 2014 30 . Sin embargo las oportunidades locales 
para la educacion o formacion en seguridad 
cibernetica son limitadas. 


El pais no cuenta con una ley o protocolo en 
marcha que se ocupe especfficamente de los delitos 
ciberneticos, aunque las autoridades informan 
que el gobierno esta discutiendo actualmente 
la adopcion de un marco legal. Sin embargo, ha 
creado un proyecto de ley de proteccion de datos y 
privacidad y recientemente reviso las disposiciones 
procesales para la obtencion de pruebas 


m POBLACION TOTAL DEL PAIS 54.944 


] Abonos a telefonos celulares 76.600 


^ Personas con acceso a Internet 35.714 


Penetracion de Internet 


□ 65 % 
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Si bien la principal entidad responsable de 
la seguridad cibernetica en San Vicente y las 
Granadinas es la Unidad de Tecnologia de 
Informacion de la Policia Real de San Vicente y las 
Granadinas, la Oficina del Primer Ministro tambien 
desempena un papel informal como facilitador de 
los debates nacionales que rodean la estrategia 
y la politica de seguridad cibernetica. En la 
actualidad, hay una estrategia nacional en la fase de 
planificacion y un CSIRT nacional que se encuentra 
en desarrollo. Una vez que se hayan completado 
estos objetivos, San Vicente y las Granadinas habra 
aumentado su capacidad para planificar medidas 
de seguridad cibernetica proactivas y no solo 
reactivas. Si bien la informacion sobre proteccion 
de infraestructuras criticas se limito en este estudio, 
un avance reciente notable ha sido la asociacion del 
pais con otros Estados de la region del Caribe para 
adoptar un Sistema Automatizado de Identificacion 
de Huellas Dactilares compartido. 

El 4 de mayo de 2015, el sitio web oficial del Gobierno 
de San Vicente y las Granadinas fue atacado por un 
hacker que se autoidentifico como parte del Estado 
Islamico (IS). La Unidad de Tecnologia de Informacion 
de la Policia Real de San Vicente y las Granadinas 
tiene la responsabilidad de responder e investigar 
los ataques ciberneticos y los delitos ciberneticos. 
La unidad recibe asistencia tecnica del Gobierno 
de los Estados Unidos y participa en capacitaciones 
regionales organizadas por la OEA, la Union de 
Telecomunicaciones del Caribe, INTERPOL y otras 
organizaciones regionales e internacionales. La 
unidad no cuenta con un laboratorio forense digital 
y envia pruebas a Antigua y Barbuda para su analisis; 
sin embargo recientemente adquirio equipos para 
desarrollar la capacidad de laboratorio en el pais. 
Aunque las empresas no estan obligadas a reportar 
las violaciones a la seguridad cibernetica, la Unidad 
de Tecnologia de Informacion colabora con el sector 
privado para investigar los incidentes ciberneticos. 


Dos leyes sustentan un marco legislative basico 
para la seguridad cibernetica en el pais: la 
Ley de Pruebas Electronicas (2004) y la Ley de 
Transacciones Electronicas (2007); sin embargo 
las autoridades creen que estas leyes requieren 
actualizacion y fortalecimiento para combatir 
eficazmente a la delincuencia cibernetica. 

La penetracion de Internet en San Vicente y las 
Granadinas ha crecido notablemente en los ultimos 
anos, de 38,5% de la poblacion en 2010 a 56% en 
2014 31 . Por otra parte el gobierno ha emprendido 
una ambiciosa iniciativa llamada "Un Computador 
Portatil Por Estudiante" 32 . Esta expansion en el 
acceso a la web sin duda ha generado una mayor 
participacion e inclusion en Internet, pero tambien 
se ha correspondido con el aumento de incidentes 
que se producen en las redes sociales de las 
escuelas. Si bien el gobierno ha reconocido esta 
creciente preocupacion, aun no se ha desarrollado 
una campana o programa de sensibilizacion para 
hacerle frente. 


m POBLACION TOTAL DEL PAIS 109.360 


] Abonos a telefonos celulares 115.017 


^ Personas con acceso a Internet 61.242 


Penetracion de Internet 


□ 56 % 
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Cultura y sociedad 



Educacion 



Marcos legates 



En respuesta a un ataque cibernetico por un hacker 
que se identified como del Estado islamico contra las 
vecinas San Vicente y las Granadinas en la primavera 
de 2015, el Gobierno de Santa Lucia anuncio sus 
planes para fortalecer la seguridad cibernetica 
de su pals a traves de un enfoque multifacetico, 
incluidas normas de seguridad mas estrictas para la 
Infraestructura Crftica Nacional (ICN) y una mayor 
capacidad para detectar y mitigar las amenazas 
ciberneticas 33 . La iniciativa esta liderada por la 
Direccion de Modernizacion del Sector Publico 
del Ministerio de la Funcion Publica, que supervisa 
la innovacion de la infraestructura de tecnologfa 
del gobierno, la expansion de los servicios de 
gobierno electronico y los asuntos de seguridad 
cibernetica. Santa Lucia tambien es miembro de 
la Alianza Internacional Multilateral contra las 
Amenazas Ciberneticas de la Union Internacional 
de las Telecomunicaciones (ITU-IMPACT, por sus 
siglas en ingles). Teniendo en cuenta estos recientes 
pasos, el pais no ha desarrollado una estrategia o 
poli'tica de seguridad cibernetica nacional formal, 
y no tiene un CSIRT nacional. 


de investigacion de la delincuencia cibernetica 34 . Las 
empresas del sector privado no estan obligadas por 
ley a reportar violaciones en seguridad cibernetica 
a las autoridades, sin embargo no hay ninguna 
pagina web establecida o linea telefonica para 
denunciar los casos relacionados con la proteccion 
de la infancia en linea. 

Hasta la fecha el gobierno de Santa Lucia no ha 
liderado una campana nacional de concientizacion 
en materia de seguridad cibernetica para la sociedad 
en general, y las oportunidades de capacitacion en 
seguridad cibernetica en el pais son limitadas. Sin 
embargo Santa Lucia contribuyo recientemente a la 
seguridad cibernetica a nivel regional al acoger el 
Octavo Foro del Caribe de Gobernanza de Internet 
y el Taller de Seguridad Cibernetica, celebrado del 
29 al 30 agosto de 2014 35 . 


Tecnologfa 



El articulo 267 del Codigo Penal (2003) de Santa 
Lucia legisla sobre el fraude informatico y delitos 
ciberneticos relacionados y el articulo 330 tipifica 
como delito la venta y produccion de pornograffa 
infantil. Santa Lucia tambien ha promulgado ley 
procesal en la busqueda e incautacion de pruebas 
electronicas. El pais ha ratificado a la Convencion 
sobre los Derechos del Nino, asi como al Protocolo 
Facultativo de la Convencion sobre los Derechos 
del Nino relativo a la venta de nihos, la prostitucion 
infantil y la pornograffa infantil, que dispone procesos 
mas detallados sobre la lucha contra el delito. 


Los casos de delitos ciberneticos son asunto de la 
Policia Real de Santa Lucia. Esta recibe el apoyo de 
la Asociacion de Banqueros de Santa Lucia, que la 
doto de nuevos equipos para construir su capacidad 


!■ POBLACION TOTAL DEL PAIS 183.645 


] Abonos a telefonos celulares 188.351 


^ Personas con acceso a Internet 93.659 


Penetration de Internet 


□ 51 % 
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Suriname 


Poli'tica y estrategia 



Cultura y sociedad 



Marcos legates 



En la 69 a Sesion de la Asamblea General de la 
ONU en octubre de 2014, un representante de la 
Mision Permanente de Suriname hablo en nombre 
de los Estados de America del Sur y enfatizo la 
importancia de proteger la infraestructura crltica 
de las amenazas cibemeticas, mientras se preservan 
los derechos de los ciudadanos a la informacion 
y la privacidad 36 . Aunque Suriname no ha sido 
historicamente un objetivo comun para los ataques 
ciberneticos, crecientes amenazas de seguridad 
cibernetica en la region llevaron a su gobierno, 
alrededor del ano 2012, a comenzar a desarrollar 
una estrategia nacional y restaurar su actualmente 
desaparecido Equipo de Respuesta a Incidentes de 
Seguridad Informatica nacional, SurCSIRT. La Oficina 
de Seguridad Nacional (BNV), en colaboracion con 
la Agencia Central de Inteligencia y Seguridad 
(CIVD), tiene la tarea de consultar con las partes 
interesadas y elaborar la Estrategia Nacional de 
Seguridad Cibernetica, asl como restablecer el 
SurCSIRT. Sin embargo, el avance ha sido lento en 
cuanto a la respuesta ya que el SurCSIRT aun no 
esta en funcionamiento. Actualmente la principal 
agencia nacional involucrada en la seguridad 
cibernetica es la CIVD, que investiga los ataques 
ciberneticos, proporciona informacion a la policla 
nacional y trabaja en estrecha colaboracion con el 
sector privado. Segun Las autoridades el gobierno en 
su conjunto tiene un conocimiento limitado de las 
cuestiones de seguridad cibernetica. En el ambito 
de la defensa cibernetica, la Polltica de Defensa 
Nacional del Ministerio de Defensa incluye medidas 
relacionadas con la seguridad de las TIC. 

Si bien Suriname tiene leyes generates relativas a la 
privacidad de las personas, no cuenta con un marco 
legal para hacer frente a los delitos ciberneticos. La 
Fiscalia General es el principal responsable para 
el manejo de casos nacionales de delincuencia 
cibernetica. Aunque las autoridades de justicia penal 
tienen cierta capacidad, la falta de servicios forenses 


digitales o mecanismos de informacion responsables 
supone un gran reto para el enjuiciamiento efectivo 
de los delitos ciberneticos. 

Las partes interesadas del sector privado y de la 
Infraestructura Crltica Nacional (ICN) estan cada 
vez mas preocupados por su nivel de seguridad 
cibernetica. El gobierno mantiene un listado general 
de los activos y vulnerabilidades de la ICN y las 
empresas privadas, especialmente en los sectores 
bancario y de telecomunicaciones, estan discutiendo 
medidas de proteccion de privacidad e invirtiendo 
en formacion de los empleados en seguridad 
cibernetica. Del mismo modo estas industrias 
tienden a cumplir con las normas ISO 27001 y se 
proponen crear conciencia entre otros sectores. 
Si bien las medidas de redundancia digitales no 
estan en marcha en todas las entidades, estas se 
han implementado en Puntos de Intercambio de 
Internet (IXP). 

Sin embargo la conciencia social de la seguridad 
cibernetica es generalmente baja, ya que no 
ha habido campanas nacionales y el 40% de la 
poblacion esta conectada a Internet 37 . Ademas 
existen pocas oportunidades de educacion en el 
pals para los ciudadanos interesados en trabajar 
en la seguridad cibernetica. 


!■ POBLACION TOTAL DEL PAIS 538.248 


] Abonos a telefonos celulares 927.800 


Personas con acceso a Internet 215.299 


Penetration de Internet 



104 


Poli'tica y estrategia 

Estrategia nacional de seguridad 
cibernetica oficial o documentada 

Desarrollo de la estrategia 
Organization 
Contenido 



Defensa cibernetica 

Estrategia 

Organization 

Coordination 


Cultura y sociedad 

Mentalidad de seguridad cibernetica 

En el gobierno 
En el sector privado 
En la sociedad 



Conciencia de seguridad cibernetica 

Sensibilizacion 


Confianza en el uso de Internet 

En los servicios en linea 
En el gobierno electronico 
En el comercio electronico 

Privacidad en linea 

Normas de privacidad 
Privacidad del empleado 


Educacion 

Disponibilidad nacional de la educacion 
y formacion ciberneticas 

Educacion 

Formacion 



Desarrollo nacional de la educacion 
de seguridad cibernetica 

Desarrollo nacional de la educacion 
de seguridad cibernetica 

Formacion e iniciativas educativas 
publicasy privadas 

Capacitacion de empleados en seguridad 
cibernetica 


Gobernanza corporativa, conocimiento y normas 

Comprension de la seguridad cibernetica 
por parte de empresas privadas y estatales 


Marcos legates 

Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 
Privacidad, proteccion de datos 
y otros derechos humanos 
Derecho sustantivo de delincuencia cibernetica 
Derecho procesal de delincuencia cibernetica 



Investigation juridica 

Cumplimiento de la ley 
La fiscalia 
Tribunales 


Divulgacion responsable de la information 

Divulgacion responsable de la informacion 


Tecnologias 

Adhesion a las normas 

Aplicacion de las normas y 
practicas minimas aceptables 
Adquisiciones 
Desarrollo de softwre 



Organizaciones de coordination 
de seguridad cibernetica 

Centro de mando y control 
Capacidad de respuesta a incidentes 

Respuesta a incidentes 

Identificacion y designation 
Organization 
Coordination 


Resiliencia de la infraestructura nacional 

Infraestructura tecnologica 
Resiliencia nacional 

Proteccion de la Infraestructura Critica Nacional (ICN) 

Identificacion 
Organization 
Planeacion de respuesta 
Coordination 
Gestion de riesgos 

Gestion de crisis 

Planeacion 

Evaluacion 


Redundancia digital 

Planeacion 

Organization 

Mercado de la ciberseguridad 

Tecnologias de seguridad cibernetica 
Seguros de delincuencia cibernetica 


OBSERVATORIO DE LA 

CIBERSEGURIDAD 

EN AMERICA LATINA Y EL CARIBE 


105 


SSS Trinidad y Tobago 


Polftica y estrategia 



Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



Con una tasa de penetracion de Internet de 65% 
en 2014, frente a 48,5% en 2010, el Gobierno de 
Trinidad y Tobago se ha dedicado activamente 
a que se acepten las TIC, se protejan sus activos 
digitales y se fomente el desarrollo economico a 
traves de la articulacion de una estrategia nacional 
de seguridad cibernetica, la identificacion de una 
autoridad competente y el establecimiento de las 
capacidades de respuesta a incidentes ciberneticos. 

En respuesta a una serie de ataques ciberneticos 
en 2011, el Marco de Politicas de Mediano Plazo 
de Trinidad y Tobago reconocio oficialmente tanto 
el papel que desempenan las TIC en la promocion 
del desarrollo y el crecimiento economico nacional 
como la necesidad de implementar iniciativas 
efectivas de seguridad cibernetica para proteger 
esta infraestructura central 38 . En diciembre de 2012 
el Ministerio de Seguridad Nacional publico una 
estrategia integral nacional que detalla los riesgos 
ciberneticos del pals y establece las funciones y 
responsabilidades de las entidades. Si bien no existe 
una polftica de defensa cibernetica aprobada, el 
J6 dentro de la Fuerza de Defensa de Trinidad y 
Tobago (TTDF, por sus siglas en ingles) tiene la 
responsabilidad general de los asuntos de las TIC y 
de defensa cibernetica. Ademas existen funcionarios 
de las Tl dentro de las formaciones de la TTDF 
(Regimiento, Guardia Costera y Guardia Aerea) que 
comparten responsabilidades de defensa cibernetica. 
Este ano, Trinidad y Tobago lanzara oficialmente el 
primer Equipo Nacional de Respuesta a Incidentes 
de Seguridad Informatica del pals, TTCSIRT. El equipo 
trabajara en estrecha colaboracion con la OEA, la 
Union Internacional de Telecomunicaciones y otras 
organizaciones internacionales para desarrollar la 
capacidad de respuesta a incidentes. 

Muchos propietarios y operadores de la 
Infraestructura Crftica Nacional (ICN) cuentan con 
mecanismos de respuesta o informacion de crisis en 
marcha, en particular aquellos en el sector privado. 


La Estrategia Nacional de Seguridad Cibernetica 
requiere la construccion de competencias entre 
los principales interesados y el desarrollo de 
medidas de gestion de incidentes. Por otra parte 
se esta generalizando la adhesion a las normas 
internacionales como la ISO 27001 en todo el 
gobierno, con proveedores de telecomunicaciones, 
servicios de seguridad y sector financiero. 

El Ministerio de Seguridad Nacional ha presentado un 
proyecto de Ley de Delito Cibernetico al Parlamento 
para su promulgacion, destinado a derogar la Ley 
de Uso Indebido de Equipos de Computo existente 
y reemplazarla con un marco juri'dico mas amplio 
para atacar la delincuencia cibernetica. Tambien 
existe una Ley de Proteccion de Datos, pero solo se 
ha promulgado parcialmente. La Unidad de Delitos 
Ciberneticos del Servicio de Policla de Trinidad y 
Tobago se encarga de las investigaciones de delitos 
ciberneticos y esta equipada con un laboratorio 
forense digital. Sin embargo, puede ser diflcil el 
enjuiciamiento exitoso de delitos ciberneticos ya que 
los tribunales a menudo carecen de capacidades de 
gestion de evidencia digital y no hay en operacion 
un marco que le exija al sector privado divulgar 
incidentes ciberneticos. 

El Ministerio de Seguridad Nacional ha puesto en 
marcha su campana de concientizacion publica. 
Ademas el Ministerio de Ciencia y Tecnologia y 
diversas organizaciones publicas y privadas, por 
ejemplo la Universidad deTrinidad yTobago (UTT) 
y la Autoridad de Telecomunicaciones de Trinidad y 
Tobago (TATT) se han asociado para ofrecertalleresy 
otros programas destinados a educar al publico sobre 
la seguridad cibernetica. El sector privado tambien 
ha alentado la oferta de formacion internacional y 
programas de acreditacion para los empleados. Si 
bien algunas universidades ofrecen cursos sobre 
hacking etico, actualmente no hay ningun programa 
nacional de grado o de certificados en seguridad 
cibernetica. 


!■ POBLACION TOTAL DEL PAIS 1.354.483 


] Abonos a telefonos celulares 1.980.566 


Personas con acceso a Internet 880.414 


Penetracion de Internet 


□ 65 % 
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Uruguay 


En 2014, Uruguay tenia una alta tasa de penetracion 
de Las TIC de 61%, que ha ido en constante aumento 
a partir de un 46,4% en 20103 9 EL Gobierno de 
Uruguay ha buscado aumentar La adopcion de Las 
TIC y proteger sus activos de informacion a traves 
de politicas de seguridad cibernetica, La capacidad 
de respuesta a incidentes, capacitacion y desarroLLo 
deL personal y LegisLacion, y asi ayudar a impuLsar La 
economfa de Uruguay hacia La era de La informacion. 

Mediante eL Decreto PresidenciaL 452/009, eL 
Gobierno de Uruguay requirio que todas Las 
entidades gubernamentaLes desarroLLen politicas 
de seguridad cibernetica. Uruguay no tiene una 
estrategia nacionaL especifica para La seguridad 
cibernetica, pero La Agencia para eL DesarroLLo deL 
Gobierno de Gestion Electronica y La Sociedad de La 
Informacion y deL Conocimiento (AGESIC) incLuyo eL 
tema de seguridad cibernetica en su Agenda Digital 
quinquenal para 2011-2015, y enfatizara aun mas La 
seguridad cibernetica en eL proximo plan a 5 anos 40 . 
Por otra parte, La PoLftica de Defensa NacionaL de 
Uruguay incorpora medidas de defensa cibernetica. 
EL mecanismo nacionaL de respuesta a incidentes de 
seguridad informatica del pais, eL CERTuy estabLecido 
en 2008, coordina regularmente con otros CSIRT 
regionalesy organizaciones internacionales.Ademas 
de respuesta a incidentes, eL CERTuy suministra 
registros estadisticos sobre ataques ciberneticos y 
emite alertas sobre riesgos emergentes. Uruguay 
tambien se basa en eL analisis y La respuesta de 
incidentes del CSIRT-ANTEL de La Administracion 
NacionaL de Telecomunicaciones, que fue fundada 
en 2005 para abordar cuestiones relacionadas con 
Los datos y servicios de telefonia celular. 

EL Gobierno de Uruguay maneja formalmente La 
seguridad de La Infraestructura Critica NacionaL 
(ICN) y comparte informacion sobre sus activos y 
vulnerabilidades. Tambien refuerza Las normas de 
seguridad y de privacidad del empleado. Uruguay 


es lider regional en eL desarroLLo de software de 
seguridad y un mercado de nuevas tecnologias 
y seguro contra La delincuencia cibernetica. Las 
entidades gubernamentaLes tambien ejecutan 
ejercicios de gestion del riesgo para coordinar 
eficazmente Los activos de respuesta. En casos de 
emergencia, eL Sistema NacionaL de Emergencias 
emitiria una comunicacion de redundancia. 

La Unidad de Delitos Ciberneticos de La PoLicia 
NacionaL es eL organismo responsable de La 
investigacion de Los delitos ciberneticos. Recibe 
capacitacion de La OEA y otras organizaciones, 
y mantiene un Laboratorio forense digital. En Los 
ultimos anos La unidad ha detectado un aumento 
de La delincuencia cibernetica. EL Gobierno de 
Uruguay ha elaborado un marco juridico para 
La seguridad cibernetica y ha adoptado La Ley n° 
18.331 de Proteccion de Datos. Sin embargo no ha 
adoptado una LegisLacion penal especifica para 
Los delitos informaticos y no cuenta con ningun 
mecanismo de divulgacion para eL sector privado. 
Uruguay forma parte del Mercosur Digital que tiene 
como objetivo normaLizar el comercio electronico y 
La seguridad cibernetica entre Los Estados Miembros. 
Por otra parte, Las principales areas del sector 
privado y el sector bancario estan bien capacitadas 
tanto en Las amenazas ciberneticas como en Las 
estrategias para protegerse de estas. 

La academia y Los sectores publico y privado ofrecen 
oportunidades de capacitacion y educacion en 
seguridad cibernetica y el gobierno ha estado 
trabajando para mejorar Las iniciativas educativas 
en dicho campo. Tambien ha puesto en marcha 
campanas nacionales de sensibilizacion, como 
"Seguro te conectas", dirigido por eL CERTuy, y 
"Tus datos valen. CuidaLos", dirigido por La AGESIC. 
Uruguay tambien se unio a La campana STOP. 
THINK.CONNECT. del Departamento de Seguridad 
NacionaL de Estados Unidos. 


!■ POBLACION TOTAL DEL PAIS 3.419.516 


] Abonos a telefonos celulares 5.497.094 


^ Personas con acceso a Internet 2.085.905 
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Venezuela 



.ve 


Poli'tica y estrategia 


Cultura y sociedad 



Educacion 



Marcos legates 



Tecnologia 



La entidad llder de Venezuela para la seguridad 
cibernetica nacional, el Sistema Nacional de 
Gestion de Incidentes Telematicos (conocido como 
VenCERT), realiza multiples funciones, a saber: 
respuesta a incidentes ciberneticos, mantenimiento 
de estadlsticas sobre tendencias de ataques 
ciberneticos, y evaluacion y fortalecimiento de la 
infraestructura nacional de seguridad cibernetica. 
A medida que los ataques ciberneticos siguen 
en aumento en el pais, incluyendo atentados 
contra sitios web gubernamentales y ataques 
de denegacion de servicio distribuidos (DdoS), 
la capacidad de respuesta del VenCERT se ha 
visto limitada 41 . Recientemente ha aumentado 
su personal, pero requiere nuevas tecnicas y 
herramientas para mantenerse vigente con las 
amenazas informaticas emergentes. 

Venezuela no tiene ni una poli'tica nacional de 
seguridad cibernetica ni una estrategia de defensa 
cibernetica. No obstante, ha aprobado una serie 
de leyes que en conjunto constituyen un marco 
jurldico global para la delincuencia cibernetica. La 
Ley Especial contra los Delitos Informaticos (Ley 
37.313) fue promulgada en 2001, y la Asamblea 
Nacional ha promulgado recientemente la Ley de 
Interoperabilidad (2012) y la Ley de Infogobierno 
(2013), que establecen reglas y normas para el 
intercambio electronico, asl como pautas del 
derecho procesal. Aunque la Constitucion establece 
la libertad de expresion, no hay leyes en vigor que 
traten especlficamente sobre la privacidad o la 
libertad de expresion en linea. 


CICPC para asegurarse de que este al dla en las 
tendencias de la delincuencia cibernetica. 

A traves de su plan de Patria Segura, el SUSCERTE 
gestiona formalmente la seguridad de la tecnologia 
de la Infraestructura Crltica Nacional (ICN), emite 
certificados digitales y mantiene estadlsticas sobre 
incidentes. Los operadores de la ICN han comenzado 
a adoptar medidas de seguridad para cumplir con las 
normas internacionales y tienen capacidad basica 
para proteger la infraestructura de los ataques 
ciberneticos. 

Ademas de la emision de certificados digitales 
para el gobierno y tecnologia de la ICN y el 
mantenimiento de estadlsticas, el SUSCERTE 
ha liderado la campana "La seguridad de la 
informacion comienza por ti", que tiene como 
objetivo educar al publico sobre la seguridad 
cibernetica a traves de charlas, foros y talleres. 
Tambien estan disponibles en el pals una serie de 
programas de grado sobre seguridad cibernetica 
y delincuencia cibernetica. Sin embargo la falta 
de conciencia social sobre seguridad cibernetica 
y la limitada proteccion de la privacidad de los 
ciudadanos aun presenta desaflos al regimen de 
seguridad cibernetica de Venezuela. 


Tres entidades conforman la respuesta principal del 
pals contra la delincuencia cibernetica: el Cuerpo de 
Investigaciones Cientlficas, Penales y Criminallsticas 
(CICPC), el Centro Nacional de Informatica Forense 
(CENIF) y la Superintendencia de Servicios de 
Certificacion Electronica (SUSCERTE). El gobierno 
ofrece rutinariamente capacitacion al personal del 


!■ POBLACION TOTAL DEL PAIS 30.693.827 


] Abonos a telefonos celulares 30.528.022 


^ Personas con acceso a Internet 17.495.481 


Penetration de Internet 


□ 57 % 
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Reflexiones sobre la region 

Melissa Hathaway, Jennifer McArdle y Francesca Spidalieri 


Las regiones de America Latina y Caribe (ALC) estan acelerando 
su enfoque en la seguridad cibernetica y lo estan priorizando 
en su agenda social y de polltica. Los llderes del gobierno no 
pueden ignorar el hecho de que los incidentes de seguridad 
cibernetica estan aumentando, tanto en alcance como en su escala. 
Reconociendo su responsabilidad con su pals y los ciudadanos, 
deben tomar las medidas y hacer las inversiones necesarias para 
abordar la resiliencia de los servicios e infraestructuras basicas 
de su pals y poder recuperarse rapidamente de los incidentes 
ciberneticos, mientras continuan acogiendo las oportunidades 
que se presentan al tener una sociedad conectada. 

Los 32 palses participantes tienen diferentes enfoques, actitudes 
y prioridades en cuanto a la seguridad cibernetica. Las siguientes 
observaciones de alto nivel muestran las tendencias en la region. 

1. Los gobiernos reconocen la importancia de asegurar el acceso 
asequible a los servicios de la tecnologia de la informacion y las 
comunicaciones (TIC) para la innovacion empresarial, el crecimiento 
y la prestacion de servicios publicos. Sin embargo, la penetracion 
de Internet es todavla muy baja (un promedio de menos del 50%) 
en aproximadamente la mitad de la region de ALC. Iniciativas de 
desarrollo economico de toda la region estan pidiendo inversiones 
de banda ancha y modernizacion de la infraestructura para impulsar 
a sus palses hacia la era digital. 

2 . La adopcion de una estrategia de seguridad cibernetica nacional 
es posiblemente uno de los elementos mas importantes del 
compromiso de un pals en asegurar la infraestructura cibernetica, 
servicios y ambiente de negocios de los que dependen su futuro 
digital y el bienestar economico. Algunos palses de ALC le han 
dado prioridad a la seguridad cibernetica como una preocupacion 
nacional y estan estableciendo pollticas formates de seguridad 
cibernetica y construyendo las capacidades de organismos 
pertinentes. Hasta la fecha, solo seis palses de la region han 
adoptado estrategias de seguridad cibernetica: Brasil, Colombia, 
Jamaica, Panama, Trinidad y Tobago y Uruguay. Otros palses, 
entre ellos Argentina, Antigua y Barbuda, Bahamas, Costa Rica, 
Dominica, El Salvador, Haiti, Mexico, Paraguay, Peru y Suriname, 
se encuentran actualmente adelantando la articulacion de una 
estrategia potencial. 

3 . La sociedad, en gran parte, desconoce los riesgos y 
vulnerabilidades asociadas con el uso de las TIC. Es importante 
que los gobiernos describan los riesgos y oportunidades asociadas 
con el aumento de la conectividad y la dependencia de Internet. 
Diferentes iniciativas de sensibilizacion, como las que han 
comenzado a surgir en muchos palses ALC y que han ayudado 
a construir una comprension compartida de la importancia de 
la seguridad cibernetica, tambien pueden conducir a la accion. 


Dos ejemplos son la campana "La seguridad de la informacion 
comienza por ti" de Venezuela y la campana internacional STOP. 
THINK.CONNECT., cuyos objetivos son educar al publico sobre los 
problemas de seguridad cibernetica a traves de charlas publicas, 
foros y talleres. Iniciativas como estas son importantes porque 
pueden aumentar la conciencia de los riesgos ciberneticos 
inherentes a un pals y fomentar el desarrollo de soluciones 
especlficas para aumentar la resiliencia cibernetica. 

4 . El establecimiento de asociaciones publico-privadas de 
confianza y mecanismos formales de intercambio de informacion 
sigue siendo limitado en la region. La mayorla de las autoridades 
nacionales mantienen tineas abiertas y activas de comunicacion 
y colaboracion con los sectores crlticos y empresas clave, y 
reconocen la importancia de compartir la inteligencia oportuna 
y procesable. Sin embargo, la desconfianza entre las partes 
interesadas ha disminuido la colaboracion; y la ausencia de 
centros reconocidos de intercambios o corredores de informacion 
autorizada todavla obstaculiza la capacidad de la mayorla de 
los palses de ALC de establecer mecanismos de intercambio de 
informacion formales. 

5 . La respuesta a las crisis o los mecanismos de presentacion de 
informes estan en etapas iniciales en la region, y la capacidad 
para abordar de manera proactiva las amenazas ciberneticas 
es limitada. Aproximadamente la mitad de los palses de ALC 
han establecido y operacionalizado Equipos de Respuesta a 
Incidentes de Seguridad Informatica (CSIRT, por sus siglas en 
ingles; tambien conocidos como "CERT"). Otros Estados estan 
evaluando los requisitos para montar y poner en practica este 
tipo de capacidad. Algunos palses, como Colombia, ya tienen 
iniciativas maduras de respuesta a incidentes y, como tales, 
pueden proporcionar servicios de respuesta a incidentes de 
entidades gubernamentales y del sector privado. 

6 . Los esfuerzos para desarrollar marcos legates integrates para 
combatir la delincuencia cibernetica, un objetivo importante 
de la estrategia de seguridad cibernetica de la OEA, estan en 
marcha en toda la region. Aunque solo dos de los 32 Estados 
Miembros de la OEA, o sea, la Republica Dominicana y Panama, 
se han adherido a la Convencion de Budapest sobre el delito 
cibernetico, casi todos los Estados Miembros han aumentado 
sus esfuerzos de aplicacion de la ley a nivel nacional y han 
actualizado la legislacion nacional para luchar contra el delito 
cibernetico y fortalecer las leyes de proteccion de datos y 
privacidad. El enjuiciamiento de los delitos ciberneticos en la 
region, sin embargo, todavla se ve obstaculizado por la ausencia, 
en la mayorla de los Estados, de un mecanismo formal para 
denunciar incidentes ciberneticos. Incluso si se denuncia un 
incidente, la mayorla de los palses cuentan con capacidades 
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forenses insuficientes para investigar y enjuiciar delitos, o el 
sistema de justicia penal no ha desarrollado la capacidad de 
manejar las pruebas electronicas o hacer cumplir las leyes de 
delitos informaticos existentes y actualizadas. 


7.Algunos gobiernos estan aprovechando su mayor conectividad a 
Internet para explorar oportunidades de desarrollo de tecnologia, 
ampliar su industria interna de tecnologia y poner en marcha 
interesantes programas ciberneticos de investigacion y desarrollo 
(por ejemplo, Start-Up Chile y Vision 2018 de Costa Rica). Tambien 
han comenzado a ofrecer incentivos, en forma de creditos 
fiscales, subvenciones y becas para promover el desarrollo de 
una industria local de tecnologia y fomentar la innovacion, la 
educacion, la seguridad cibernetica, la creacion de capacidades 
y la creacion de empleos. 

Es alentador que la seguridad cibernetica y la resiliencia ocupen 
un lugar destacado en la politica y los programas sociales 
en America Latina y el Caribe. Si bien ningun pais esta listo 
ciberneticamente, muchos estan empezando a tomar medidas 
significativas para evaluar sus desafios especificos de seguridad 
cibernetica en terminos economicos y comprometer recursos 
limitados para lograr sus objetivos. Si bien sigue habiendo 
brechas en la preparacion para la seguridad cibernetica en toda 
America Latina y el Caribe (como se ve en los resumenes de las 
capacidades y los esfuerzos de seguridad cibernetica de cada 
pais), la region entera de ALC esta avanzando y madurando 
su compromiso con la creacion de una sociedad mas segura, 
resiliente y conectada. ■ 



Melissa Hathaway 

Destacada experta en la politica de ciberespacio 
y ciberseguridad. Es Asesora Principal en el Centro 
Belter para la Ciencia y Asuntos Internacionales 
del Harvard Kennedy School y sirve como 
Asociada Senior y miembro de la Junta de 
Regentes en el Instituto Potomac de Estudios 
Politicos. Se desempeno en dos administraciones 
presidenciales, pues estuvo a cargo de la Revista 
de Politica del Ciberespacio para el Presidente 
Obamaydirigio la Iniciativa NacionaldeSeguridad 
Cibernetica Integral para el Presidente George 
W. Bush. Ha desarrollado una metodologia unica 
para evaluar y medir el nivel de preparacion para 
determinados riesgos de ciberseguridad, conocida 
como el Cyber Readiness Index y esta aplicando su 
metodologia para 125 paises. 


Jennifer McArdle 

Investigadora Asociada y miembro del Centro 
de Pensamiento Cientifico Revolucionario en 
el Instituto Potomac de Estudios Politicos, es 
candidata al doctorado en el Kings College 
de Londres. Su investigacion academica y 
publicaciones se centran en la seguridad 
cibernetica y problemas de seguridad nacional. 


Francesca Spidalieri 

Senior Fellow para el Liderazgo Cibernetico en 
el Centro Pell, en Salve Regina University, se 
desempena como una experta en la materia en el 
Proyecto de Cyber Readiness Index del Instituto 
Potomac de Estudios Politicos. Su investigacion 
academica y sus publicaciones se han centrado 
en el desarrollo del liderazgo cibernetico, la 
gestion de riesgos ciberneticos, la educacion 
y la conciencia cibernetica, y el desarrollo del 
personal de seguridad cibernetica. 
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Contribuciones 


EL Banco Interamericano de DesarroUo (BID) y la Organizacion de los Estados Americanos (OEA) 
extienden su mas sincero agradecimiento a Los expertos e instituciones que han contribuido al Informe 
2016 del Observatorio de La Seguridad Cibernetica en America Latina y el Caribe. EL BID y La OEA 
reconocen tambien a Las siguientes organizaciones por sus contribuciones a esta iniciativa: 


Antigua y Barbuda 

• Ministerio de Informacion 

• Oficina del Primer Ministro 


* Argentina 

• Ministerio de Seguridad NacionaL 

• Programs NacionaL de Infraestructuras Criticas de 
Informacion y Ciberseguridad (ICIC) 

• Subsecretaria para La Proteccion de Infraestructura 
Critica y Ciberseguridad 


o 


Agencia Brasilena de Inteligencia (ABIN) 
Centro de TecnoLogia e Sociedad (CTS) 

- Fundagao Getulio Vargas 
Comite Gestor de Internet en Brasil (CGI.br) 
Departamento de Seguridad de Informacion 
y Comunicaciones, Presidencia de La RepubLica 
de Brasil (DSIC) 

Equipo NacionaL de Respuesta ante Incidentes 
Informaticos de Brasil (CERT.BR) 

Gabinete de Seguridad Institucional 
de La Presidencia de La RepubLica (GSI) 

Instituto de TecnoLogia e Sociedad (ITS) 


Bahamas 


• Fuerza Policial Real de Bahamas 

• Ministerio de Seguridad NacionaL 


Barbados 


• Oficina del Procurador General 


Belice 

• Departamento de Policia de Belice 

• Organizacion Central de TecnoLogia Informatica 
(CITO) 

• Secretaria del Consejo de Seguridad NacionaL 
(NSCS) 



Bolivia 


• Agencia para el DesarroUo de La Sociedad de La 
Informacion en Bolivia (ADSIB) 


Chile 


• Ministerio del Interior 

• Ministerio de Relaciones Exteriores 

• Ministerio de Telecomunicaciones 


Colombia 

• Asociacion NacionaL de Empresarios de Colombia 
(ANDI) 

• Camara Colombiana de Informatica y 
Telecomunicaciones (CCIT) 

• .CO Internet 

• Fuerzas Armadas 

• ISAGEN, EPM 

• Ministerio de Defensa NacionaL 

• Ministerio de Justicia 

• Ministerio de Tecnologias de La Informacion 
y Las Comunicaciones (MINTIC) 

• Policia NacionaL 

• UniAndes, Escuela Superior de Guerra, Uniminuto, 
UPB 
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Costa Rica 


Guatemala 


& 


• Instituto Costarricense de Electricidad (ICE) 

• Ministerio de Ciencia, Tecnologia y 
Telecomunicaciones (MICITT) 

• Ministerio de la Presidencia 

• Organismo de Investigacion Judicial (01 J) 

• Procuraduria General de la Republica 

• Superintendencia de Telecomunicaciones (SUTEL) 

• Universidad de Costa Rica 


Dominica 

• Asociacion de Dominica de Profesionales 
Tecnologia de la Informacion (DAITP) 

• Banco Nacional de Dominica 

• Dominica State College 

• Ministerio de Informacion y Telecomunicaciones 

• Unidad de Tecnologia de Informacion y 
Comunicaciones 


• CSIRT-gt 

• Ministerio de Gobemacion 

• Ministerio Publico de Guatemala 

• Secretaria Tecnica del Consejo Nacional de 
Seguridad 

• Superintendencia de Telecomunicaciones 


^2 Guyana 

• Agencia de Energia de Guyana 

• CSIRT.gy 

• Fuerza de Defensa de Guyana 

• Fuerza de Policia de Guyana 

• Ministerio del Interior 

• Universidad de Guyana 


Ecuador 


Consejo Nacional de Telecomunicaciones 
(CONATEL) 


• ARCOTEL 

• Fiscalia General de Ecuador 

• Fuerzas Armadas del Ecuador 

• Ministerio de Defensa 


El Salvador 

• Ministerio de Justicia y Seguridad Publica 


Honduras 


• Comision Nacional de Telecomunicaciones 
(CONATEL) 

• COINDIS 

• Ministerio de Relaciones Exteriores y Cooperacion 
Internacional 

• Policia Nacional de Flonduras 

• Sistema Nacional de Administracion de la 
Propiedad (SINAP) 


Granada 


• Fuerza de la Policia Real de Granada 


►X4 Jamaica 


| | Peru 


• Asociacion de Bancos de Jamaica 

• Fuerza Policial de Jamaica 

• Ministerio de Ciencia, Tecnologia, Energia y Mineria 

• Ministerio Publico de Jamaica 

• Ministerio de Seguridad Nacional 

• Universidad de las Indias Occidentales 


Mexico 

• Asociacion Mexicana de Internet, A.C. (AMIPCI) 

• Comite Especializado en la Seguridad de 
Informacion (CESI) 

• Petroleos Mexicanos 

• Procuraduria General de la Republica (PGR) 

• Secretaria de Gobernacion 


• Comando Conjunto Fuerzas Armadas 

• Ministerio de Defensa 

• Ministerio del Interior del Peru 

• Ministerio Publico - Fiscalia de la Nacion 

• Ministerio de Relaciones Exteriores 

• Oficina Nacional de Gobierno Electronico e 
Informacion (ONGEI) 

• Policia Nacional de Peru 


m ' m Republica Dominicana 


• Instituto Dominicano de las Telecomunicaciones 
(INDOTEL) 

• Policia Nacional 

• Procuraduria General de la Republica 


Nicaragua 

• Universidad Nacional de Ingenieria 

Panama 

• Autoridad del Canal de Panama 

• Autoridad Nacional para la Innovacion 
Gubernamental (AIG) 


2^2 Saint Kitts y Nevis 

• Comision Reguladora de Servicios Financiaros 

• LIME 

• Ministerio de Empoderamiento Juvenil, Deportes, 
Tecnologia Informatica, Telecomunicaciones y 
Correo 

• Ministerio de Energia, Finanzas, Comercio e 
Industria 

• Policia Real de Saint Kitts y Nevis 

• St. Kitts Electricity Company Ltd. 


Paraguay 


San Vicente y las Granadinas 


Ministerio Publico 

Ministerio de Relaciones Exteriores 

Secretaria Nacional de Tecnologias de Informacion 

y Comunicaciones (SENATICS) 


Fuerza Policial Real de San Vicente y las 
Granadinas 
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Santa Lucia 


A 


• Gobierno de Santa Lucia 


Suriname 


• Agencia Central de Inteligencia y Seguridad (CIVD) 

• Banca Red de Suriname 

• Camara de Comercio e Industrias 

• DATASUR 

• Ministerio de Energia, Finanza, Comercio e Industria 

• Oficina del Fiscal General 

• Parbonet 

• Servicio Especial de Seguridad e Inteligencia (SBID) 

• TELESUR 


Trinidad y Tobago 


• Empresa Nacional de TIC (iGovTT) 

• Ministerio de Seguridad Nacional 


# — Uruguay 


• Agencia de Gobierno Electronico, Sociedad de la 
Informacion y Conocimiento (AGESIC) 

• ANTEL 

• Ministerio de Defensa 



Venezuela 


• Superintendencia de Servicios de Certificacion 
Electronica (SUSCERTE) 


El reconocimiento a las instituciones 
mencionadas anteriormente no implica 
que las mismas validen el contenido 
del presente documento. 
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Apendice 

Marco metodologico detallado 



Politica y estrategia 

Estrategia nacional de seguridad cibernetica 
oficial o documentada 

Desarrollo de la estrategia 

Organizacion 

Contenido 

Defensa cibernetica 

Estrategia 

Organizacion 

Coordinacion 
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Estrategia nacional 
de seguridad cibernetica 

oficial o documentada Desarrollo de la estrategia 


Una estrategia nacional integral 
de seguridad cibernetica identifica 
los intereses y roles de una gama de 
actores que contribuyen a, tienen la 
responsabilidad de o se ven afectadas 
por la seguridad cibernetica con el 
proposito de crear un marco coordinado 
y cohesionado. Esta estrategia en 
ocasiones incluye varias areas tematicas 
e identifica los roles y responsabilidades 
de varios actores que participan en 
la seguridad cibernetica, incluida la 
industria, la sociedad civil y personas 
naturales, y destacara la importancia 
de los mecanismos para abordar sus 
necesidades y aprovechar su experiencia. 


INICIAL 


No hay evidencia de la existencia de una estrategia nacional de seguridad 
cibernetica; si existe un componente cibernetico, puede ser responsabilidad 
de uno o mas departamentos del gobierno; ha comenzado un proceso para el 
desarrollo sin consultar a los interesados. 


FORMATIVO 


Se ha articulado un esquema de una estrategia nacional de seguridad 
cibernetica construido sobre la base de la consulta del gobierno; se han 
establecido procesos de consulta para los grupos de interes clave, posiblemente 
con asistencia internacional. 


ESTABLECIDO 


Se ha establecido una estrategia de seguridad cibernetica nacional; se ha 
acordado un mandato especifico para consultar a todos los sectores y la 
sociedad civil; se utilizan tendencias historicas y datos para planificar; una 
cierta comprension de los riesgos y amenazas de seguridad cibernetica nacional 
impulsa la creacion de capacidades a nivel nacional. 


ESTRATEGICO 


La estrategia de seguridad cibernetica nacionalse implementa con conocimiento 
por parte de multiples partes interesadas en todo el gobierno; se confirman los 
procesos de revision y renovacion de la estrategia; se llevan a cabo ejercicios 
ciberneticos regulares de escenario y en tiempo real; planes estrategicos de 
seguridad cibernetica impulsan la creacion de capacidad y las inversiones en 
seguridad; se han establecido procesos de medicion y metricas, los cuales se 
implementan y sirven de base para la toma de decisiones. 


DINAMICO 


La estrategia de seguridad cibernetica se revisa continuamente para adaptarsea 
los cambiantes entornos socio-politico, de amenazas y tecnologico, impulsando 
el proceso de toma de decisiones de multiples partes interesadas; se llevan a 
cabo medidas de transparencia y de fomento de la confianza (TCBM, por sus 
siglas en ingles) para garantizar la inclusion y la contribucion continua de todos 
los interesados, incluido el mejoramiento de la asociacion publico-privada, la 
sociedad en general y los aliados internacionales. 
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Politica y estrategia 


Organization 


INICIAL 


No existe una entidad global para la coordination de la seguridad cibernetica; 
si se cuenta con presupuestos, estos se encuentran en oficinas publicas no 
relacionadas. 


FORMATIVO 


Se ha disenado y difundido un programa de seguridad cibernetica coordinado; 
los presupuestos todavla pueden estar distribuidos; aun es limitada la 
cooperacion interdepartamental. 


ESTABLECIDO 


Se ha designado un solo programa cibernetico dentro de cada entidad 
gubernamental; existe un dueno departamental o ente coordinador con un 
presupuesto consolidado; el programa se define, con metas, hitos e indicadores 
para medir el progreso; se han acordado funciones y responsabilidades claras 
para las funciones de seguridad cibernetica dentro del gobierno. 


ESTRATEGICO 


Existen pruebas de la aplicacion iterativa de las metricas y el perfeccionamiento 
resultante de las operaciones y la estrategia a traves de los gobiernos 
involucrados en la seguridad cibernetica, incluida la evaluacion y gestion del 
riesgo. 


DINAMICO 


Un organismo nacional es designado para difundir e impulsar la aplicacion de la 
estrategia de seguridad cibernetica; existe una postura de seguridad cibernetica 
nacional singular con la capacidad de reasignar tareas y presupuestos de forma 
dinamica de acuerdo con los cambios en la evaluacion de riesgos del entorno 
de seguridad cibernetica; se solidifica la cooperacion internacional a nivel 
organizacional. 


Estrategia nacional de seguridad 
cibernetica oficial o documentada 

Desarrollo de la estrategia 
• Organizacion 
Contenido 
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Contenido 


INICIAL 


Puede no existir ninguna o puede haber varias estrategias nacionales con una 
referencia a La seguridad cibernetica; si es que existen, el contenido es generico, 
no necesariamente alineado con los objetivos nacionales y no proporciona 
directrices recurribles. 


FORMATIVO 


El contenido incluye vinculos entre las prioridades nacionales de riesgo y la 
seguridad cibernetica, pero en general son ad hoc y no estan detallados. 


ESTABLECIDO 


El contenido de la estrategia nacional de seguridad cibernetica se vincula 
explicitamente a los riesgos, las prioridades y objetivos nacionales; el contenido 
incluye la sensibilizacion alpublico, la mitigacion de la delincuencia cibernetica, 
la capacidad de respuesta a incidentes y la proteccion de la Infraestructura 
Critica Nacional. 


ESTRATEGICO 


El contenido de la estrategia nacional de seguridad cibernetica se actualiza 
basandose en los resultados de la aplicacion de metricas y mediciones que 
impulsan la toma de decisiones y guian la inversion de recursos. 


DINAMICO 


El contenido de la estrategia se ha modificado en respuesta a las condiciones 
de seguridad cibernetica; se incorpora regularmente al plan estrategico 
nuevo contenido relativo a los objetivos de seguridad cibernetica; se articula 
el liderazgo y la promocion de un espacio cibernetico internacional seguro, 
resiliente y de confianza. 


Estrategia nacional de seguridad 
cibernetica oficialo documentada 

Desarrollo de la estrategia 
Organizacion 
• Contenido 
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Politica y estrategia 


Defensa cibernetica 


Estrategia 


Puede haber eventos que repercuten 
en los intereses de seguridad nacional 
relacionados con La seguridad de la red, 
la capacidad de recuperacion cibernetica, 
la respuesta a incidentes y el intercambio 
de informacion, que requieren la 
participacion de los ministerios y 
organismos de defensa. Por lo tanto, se 
necesita la preparacion de una estrategia 
que coordine a todas las organizaciones 
participantes para garantizar un enfoque 
integrado para hacerle frente a las 
amenazas a la seguridad nacional. Esta 
evaluacion no pretende examinar la 
capacidad tecnica o militar, sino que 
se centra en los atributos facilmente 
observables, tales como planificacion 
estrategica, organizacion y coordinacion. 


INICIAL 


Existe una politica nacional de seguridad y estrategia de defensa nacional y 
puede contener un componente de seguridad de la informacion o digital, pero 
no existe ninguna politica o estrategia de defensa cibernetica. 


FORMATIVO 


Han sido identificadas amenazas especlficas a la seguridad nacional en el 
ciberespacio, tales como actores de amenazas externas, amenazas internas, 
vulnerabilidadesdelsistema desuministroy amenazas a la capacidad operativa 
militar, pero aim no existe una estrategia de respuesta coherente. 


ESTABLECIDO 


Existe una politica nacional de defensa cibernetica o un Libro Blanco de defensa 
cibernetica y esboza la posicion de los militares en su respuesta a los diferentes 
tipos y niveles de ataques ciberneticos, incluyendo un conflicto habilitado 
por la cibernetica que produce un efecto convencional, cinetico, y ataques 
ciberneticos ofensivos destinados a perturbar la infraestructura, incluyendo la 
respuesta a emergencias. 


ESTRATEGICO 


La defensa cibernetica nacional cumple con el derecho internacional y es 
compatible con las normas nacionales e internacionales de intervencion en el 
ciberespacio. 


DINAMICO 


Se conoce el cambiante panorama de amenazas en la seguridad cibernetica 
mediante la revision constante para cerciorarse de que las pollticas de defensa 
cibernetica continuen cumpliendo con los objetivos de seguridad nacional; 
estan claramente definidas las normas de intervencion; la doctrina militar que 
se aplica al ciberespacio esta completamente desarrollada y toma nota de los 
cambios significativos en el entorno de la seguridad cibernetica. 
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Organizacion 


INICIAL 


No hay gestion de La defensa cibernetica; si es que existe, puede ser distribuida 
entre las fuerzas armadas y/o algunas otras organizaciones gubernamentales; 
no hay una estructura de mando clara para La seguridad cibernetica en Las 
fuerzas armadas. 


FORMATIVO 


Las unidades de operacion de defensa cibernetica se incorporan a Las diferentes 
ramas de Las fuerzas armadas, pero no existe una estructura centraL de mando 
y controL. 


ESTABLECIDO 


Dentro deL ministerio responsabLe de La defensa, existe una organizacion 
definida para enfrentar Los confLictos utiLizando medios ciberneticos. 


ESTRATEGICO 


Se integran a La estrategia de defensa nacionaL La experticia aLtamente 
especiaLizada con capacidades ciberneticas estrategicas avanzadas y 
conocimiento totaL de La situacion. 


DINAMICO 


EL ministerio responsabLe de La defensa contribuye aL debate mediante eL 
desarroLLo de un entendimiento internacionaL comun deL punto en eL que un 
ataque cibernetico podria desencadenar una respuesta de varios dominios. 


Defensa cibernetica 

Estrategia 
• Organizacion 
Coordinacion 
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Politica y estrategia 


Coordinacion 


INICIAL 


Las fuerzas armadas nacionales no tienen capacidad, o tienen capacidad 
limitada, de resiliencia cibernetica, destinada a reducir Las vulnerabilidades de 
Los intereses de seguridad nacionaL e infraestructura de red de defensa. 


FORMATIVO 


Se acuerdan Los requisitos de capacidad de defensa cibernetica entre eL sector 
pubLico y privado con eL fin de minimizar La amenaza a La seguridad nacionaL. 


ESTABLECIDO 


Existe coordinacion, en respuesta a Los ataques maLiciosos a Los sistemas de 
informacion miLitar y a La infraestructura critica nacionaL; existe un mecanismo 
para eL intercambio de informacion que sirve para eL anaLisis de amenazas y La 
recopiLacion de inteLigencia. 


ESTRATEGICO 


Existe cierta capacidad anaLitica para apoyar La coordinacion y asignacion de 
recursos para La defensa cibernetica nacionaL, posibLemente incLuyendo un 
centro de investigacion de defensa cibernetica. 


DINAMICO 


La entidad encargada de La defensa cibernetica coordina La integracion 
estrategica con respecto a eventos ciberneticos entre eL gobierno, Los miLitares 
y La infraestructura critica, incLuidos Los presupuestos, e identifica Los roLes y 
responsabiLidades cLaras; este proceso Luego aLimenta a La re-evaLuacion de La 
situacion de seguridad nacionaL deL pais. 


Defensa cibernetica 

Estrategia 
Organizacion 
• Coordinacion 
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Cultura y sociedad 


Mentalidad de seguridad cibernetica 

En el gobierno 
En el sector privado 
En La sociedad 

Conciencia de seguridad cibernetica 

Sensibi Lizacion 

Confianza en el uso de Internet 

En Los servicios en Lfnea 
En eL gobierno eLectronico 
En eL comercio eLectronico 

Privacidad en linea 

Normas de privacidad 
Privacidad deL empLeado 
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Mentalidad de seguridad 
cibernetica 


En el gobierno 


Una mentalidad de seguridad cibernetica 
incluye los valores, actitudes y practicas, 
habitos de usuarios individuales, expertos 
y otros actores en el ecosistema de la 
seguridad cibernetica. Se les requiere 
a diferentes actores tener diversas 
mentalidades de seguridad cibernetica, 
en funcion a sus roles y funciones en el 
ecosistema, incluyendo el gobierno, el 
sector privado, la academia, los expertos y 
el comportamiento responsable en linea. 
Los factores socioeconomicos contribuyen 
a la existencia de diferentes percepciones 
de la seguridad cibernetica y pueden 
incidir en el hecho de que la misma se 
brinde de manera eficaz. 


INICIAL 


No existe o se reconoce mfnimamente una mentalidad de seguridad cibernetica 
dentro de las agencias gubernamentales. 


FORMATIVO 


Agencias lideres han comenzado a darle prioridad a la seguridad cibernetica, 
mediante la identificacion de los riesgos y amenazas. 


ESTABLECIDO 


Mejores practicas en seguridad cibernetica son ampliamente conocidas en todo 
el gobierno en todos los niveles. 


ESTRATEGICO 


La mayoria de las agencias en todos los niveles de gobierno han incorporado 
una mentalidad proactiva de seguridad cibernetica, que sustenta la planeacion 
estrategica. 


DINAMICO 


La mentalidad de la seguridad cibernetica es habitual e informa a todas las 
iniciativas relacionadas con la Tl; la mentalidad de seguridad cibernetica sirve 
como base para los enfoques individuales de los empleados ministeriales sobre 
sus responsabilidades. 
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Cultura y sociedad 


En el sector privado 


INICIAL 


No existe o se reconoce mmimamente en la industria y Los negocios La necesidad 
de darle prioridad a una mentalidad de seguridad cibernetica. 


FORMATIVO 


Empresas lideres han comenzado a darle prioridad a una mentalidad de 
seguridad cibernetica mediante la identificacion de practicas de alto riesgo. 


ESTABLECIDO 


Se ha arraigado una mentalidad de seguridad cibernetica entre las empresas y 
la industria. 


ESTRATEGICO 


Todas las organizaciones, incluidas las PYME, entre la mayoria de las industrias, 
han fomentado una mentalidad proactiva de seguridad cibernetica, que informa 
a la planeacion estrategica. 


DINAMICO 


La mentalidad de seguridad cibernetica sirve como base para los enfoques 
individuates dentro del sector privado respecto de las responsabilidades 
laborales e informa a todas las iniciativas relacionadas con Tl. 


Mentalidad de seguridad cibernetica 

En el gobierno 
• En el sector privado 
En la sociedad 
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En la sociedad 


INICIAL 


La sociedad desconoce Las amenazas ciberneticas y no puede tomar medidas 
concretas de seguridad cibernetica o La sociedad es consciente de Las amenazas 
ciberneticas, pero no toma medidas proactivas para mejorar su seguridad 
cibernetica. 


FORMATIVO 


Se adopta una mentaLidad de seguridad cibernetica, pero de manera 
inconsistente, en toda La sociedad; Los programas y materiaLes han sido puestos 
a disposicion para entrenar y mejorar Las practicas de seguridad cibernetica. 


ESTABLECIDO 


Se ha desarroLLado una conciencia sociaL deL uso seguro de Los sistemas en 
Lfnea; una proporcion creciente de usuarios tienen Las habiLidades para manejar 
su privacidad en Lfnea y protegerse de La intromision, interferencia o acceso no 
deseado a La informacion por parte de otros. 


ESTRATEGICO 


Un numero creciente de usuarios estan empLeando practicas seguras en Lfnea 
como una costumbre, La conciencia de La seguridad esta arraigada; La mayorfa 
de Los usuarios tienen La informacion, confianza y herramientas practicas para 
protegerse en Lfnea, mientras que se proporcionan eL apoyo y Los recursos a Los 
miembros vuLnerabLes de La sociedad, incLuida La proteccion de menores. 


DINAMICO 


Los usuarios demuestran una mentaLidad de seguridad cibernetica y empLean 
habituaLmente Las practicas mas seguras en su uso cotidiano de Las redes en 
Lfnea; eL conjunto de habiLidades en seguridad cibernetica de La pobLacion de un 
pais muestra un grado de desarroLLo avanzado, por Lo que Los usuarios pueden 
abordar de manera efectiva Las amenazas que enfrenta La sociedad. 


MentaLidad de seguridad cibernetica 

En eL gobierno 
En eL sector privado 
• En La sociedad 
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Cultura y sociedad 


Conciencia 

de seguridad cibernetica 


Necesidad de que Los programas aumenten 
la conciencia de seguridad cibernetica con 
especial entasis en la percepcion de los 
riesgos y amenazas ciberneticas. 


Sensibilizacion 


INICIAL 


La necesidad de tomar conciencia de las amenazas y vulnerabilidades de 
seguridad cibernetica en el sector publico y privado no es reconocida o se 
encuentra en una fase inicial de discusion. 


FORMATIVO 


Se establecen campanas de sensibilizacion con objetivos definidos, pero son 
ad hoc, no cubren necesariamente todos los grupos y no estan estrechamente 
vinculadas a la estrategia de seguridad cibernetica; estan disponibles 
seminarios y recursos en llnea para la poblacion objetivo, pero no hay esfuerzos 
de coordinacion o de medicion. 


ESTABLECIDO 


Existe un programa coordinado nacional para la concienciacion sobre la seguridad 
cibernetica en base a consultas con las partes interesadas, que se dirige a una amplia 
gama de grupos demograficos; se puede evidenciar la participacion de multiples 
partes interesadas en la prestacion de servicios y productos de sensibilizacion. 


ESTRATEGICO 


Se han establecido metricas para medir la eficacia de las campanas de 
sensibilizacion y los resultados sirven de base para campanas futuras, teniendo 
en cuenta brechas o fallas; el programa es apoyado por procesos para obtener 
medidas de idoneidad y calidad para la potencial reutilizacion del material; 
existe, es ampliamente conocido y facilmente accesible un portal central en 
llnea que tiene vi'nculos con informacion relevante. 


dinAmico 


Mediciones de rendimiento de las campanas de sensibilizacion sirven de base 
para los procesos nacionales de renovacion de estrategias y la redistribucion 
de los recursos; la comunidad de interesados aporta requisitos al proceso 
de planeacion de la campana, con un diseno especlfico para los grupos 
destinatarios. 
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Confianza en el uso de Internet 


En los servicios en li'nea 


EL nivel de confianza de los individuos 
en el uso de Internet (servicios en li'nea 
y gobierno o comercio electronico) 
determina la medida en que 
proporcionaran informacion personal 
en li'nea. 


INICIAL 


No existe o hay un uso minimo de los servicios en linea; la confianza en los 
servicios en linea no es una preocupacion; por lo tanto, los operadores de la 
infraestructura de Internet no han establecido acciones coordinadas. 


FORMATIVO 


La confianza en los servicios en linea se identifica como una preocupacion; los 
operadores de infraestructuras toman en consideracion medidas para fomentar 
la confianza en los servicios en linea; sin embargo, no se han establecido medidas. 


ESTABLECIDO 


Se han implementado esfuerzos para proporcionar servicios en linea mas 
seguros; se ha establecido un programa nacional coordinado para promover la 
confianza en los servicios en linea; la asignacion presupuestal para las medidas 
de seguridad para los servicios en li'nea es minima. 


ESTRATEGICO 


Se recogen las medidas de efectividad de un programa para promover la 
confianza incluyendo la consideracion de los impactos secundarios y se utilizan 
para informar la asignacion de recursos; las medidas que evaluan la confianza 
en los servicios en linea incluyen la sensacion de control del individuo sobre el 
suministro de datos personales en linea. 


DINAMICO 


A traves de la aplicacion y la evaluacion iterativa de indicadores cuantitativos y 
cualitativos en la infraestructura en linea y la mejora en el desarrollo de servicios, 
aumenta la confianza en los servicios en linea; las personas evaluan el riesgo 
en el uso de servicios en linea y de forma continua ajustan su comportamiento 
sobre la base de esta evaluacion. 
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Cultura y sociedad 


En elgobierno electronico 


INICIAL 


EL gobierno no ofrece servicios electronicos o Los que ofrece son minimos; 
si se ofrecen servicios electronicos minimos, el gobierno no ha promovido 
publicamente el entorno seguro necesario. 


FORMATIVO 


La gama de servicios electronicos del gobierno continua en expansion, con un 
reconocimiento de la necesidad de aplicar medidas de seguridad para promover 
la confianza en los servicios electronicos; multiples partes interesadas analizan 
las practicas indeseables en linea. 


ESTABLECIDO 


Las infracciones se han identificado y reconocido y se dan a conocer de una 
manera ad hoc por el gobierno; el sector publico coordina acciones para evitar 
ataques a la informacion personal; se priorizan los delitos en Internet de alto 
nivel; se promueve el cumplimiento de los estandares de Internet y de la web 
para proteger el anonimato de los usuarios. 


ESTRATEGICO 


La divulgacion de la informacion se hace por defecto; las preocupaciones sobre 
seguridad cibernetica impulsan al gobierno; se promueve la privacidad por 
defecto como una herramienta para la transparencia; se emplean procesos 
de contenido generado por el usuario para proporcionar informacion sobre 
material ineficaz; se establecen medidas procesales para asegurar una gestion 
eficiente de los contenidos en linea. 


dinAmico 


Se mejoran continuamente los servicios de gobierno electronico con el fin de 
promover un sistema transparente, abierto y seguro en el que la gente confia; 
se estan llevando a cabo de manera consistente evaluaciones de impacto sobre 
la proteccion de la privacidad en las disposiciones de gobierno electronico, las 
cuales retroalimentan la planeacion estrategica. 

Confianza en el uso de Internet 

En los servicios en linea 
• En el gobierno electronico 

En el comercio electronico 
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En el comercio electronico 


INICIAL 


No se ofrecen servicios de comercio electronico; si se ofrecen, el entorno es 
inseguro y los usuarios carecen de un conocimiento adecuado de los servicios 
de comercio electronico. 


FORMATIVO 


Los servicios de comercio electronico son minimos y no totalmente organizados; 
las partes interesadas y los usuarios reconocen la necesidad de seguridad en 
los servicios electronicos y ha comenzado el analisis de inversion entre los 
proveedores de servicios. 


ESTABLECIDO 


Los servicios de comercio electronico estan plenamente establecidos en 
un entorno seguro; multiples partes interesadas invierten en el comercio 
electronico. 


ESTRATEGICO 


Se han establecido la funcionalidad del servicio mejorado, la provision de 
mecanismos de retroalimentacion y la proteccion de la informacion personal 
para asegurar la continuidad del negocio. 


DINAMICO 


Mediciones de desempeno continuas de servicios de comercio electronico 
impulsan e informan la planeacion estrategica; los terminos y condiciones 
previstos en los servicios de comercio electronico son claros y comprensibles 
para todos los usuarios. 


Confianza en el uso de Internet 

En los servicios en llnea 
En el gobierno electronico 
• En el comercio electronico 


138 


Cultura y sociedad 


Privacidad en tinea 


Normas de privacidad 


Las cuestiones de privacidad incluyen 
el intercambio de datos de caracter 
personal en el sector publico y privado. 
Se aborda por separado el componente 
de proteccion de datos de la privacidad 
en las dimensiones 4 y 5. Los palses con 
estrategias sofisticadas de seguridad 
cibernetica no comprometeran la 
libertad de expresion en linea en nombre 
de la seguridad de la red. 


INICIAL 


La discusion con grupos de interes sobre asuntos de privacidad ha comenzado 
a nivel gubernamental. 


FORMATIVO 


Se consideran las leyes y pollticas que promueven el acceso a datos personates 
recogidos y almacenados por todo el gobierno y otras instituciones publicas. 


ESTABLECIDO 


Todos los actores relevantes de la sociedad civil estan impulsando activamente 
el cambio en las practicas, leyes y regulaciones que afectan la libertad de 
expresion en asuntos de privacidad; el gobierno esta considerando la adopcion 
de legislacion sobre derechos humanos con un enfoque en la privacidad. 


ESTRATEGICO 


Se adhiere a estandares de derechos humanos reconocidos a nivel regional e 
internacional, en relacion a la privacidad. 


DINAMICO 


Estan claramente identificados los actores, pollticas y practicas que determinan 
la libertad de expresion y la privacidad y son fundamentales para informar las 
decisiones; se logra el cumplimiento de la declaracion universal de los derechos 
humanos. 
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Privacidad del empleado 


INICIAL 


No hay debate, o es minimo, entre Los lideres del sector privado con respecto a 
Las cuestiones de privacidad en el Lugar de trabajo. 


FORMATIVO 


Se reconoce La privacidad en el lugar de trabajo como un componente importante 
de La seguridad cibernetica y esta empezando a ser institucionalizada en 
programas para empleados. 


ESTABLECIDO 


Los empleadores mantienen politicas de privacidad que ofrecen un nivel 
minimo de privacidad para Los empleados. 


ESTRATEGICO 


Los empleados no solo toman conciencia de sus derechos a La privacidad dentro 
de La organizacion y se entienden Las obligaciones de privacidad individual 
sobre La base de La planeacion estrategica, sino que La organizacion tambien 
realiza auditorias externas para asegurar el cumplimiento de Las normas de 
privacidad; se Logra el cumplimiento de Las mejores practicas relacionadas con 
Los derechos humanos sobre La privacidad en el Lugar de trabajo y se evalua a 
traves de un proceso de auditorfa. 


DINAMICO 


Se llevan a cabo de manera regular evaluaciones de impacto sobre La privacidad, 
Las cuales sustentan La revision de La politica. 


Privacidad en linea 

Normas de privacidad 
Privacidad del empleado 
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Educacion 


Disponibilidad nacional de la educacion 
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Desarrollo nacional de la educacion 
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Disponibilidad nacional 

de la education y formation 

ciberneticas Education 


Recursos y/o financiacion del 
pais destinados a incrementar la 
disponibilidad de la educacion y la 
formacion en seguridad cibernetica. 
Esta disponibilidad debe reflejar las 
necesidades en el ambito activo de la 
seguridad cibernetica. 


INICIAL 


No hay oferta educativa en seguridad de la informacion, o existe una oferta 
minima pero no hay un proveedor reconocido de educacion en seguridad 
cibernetica; no existe una acreditacion en educacion en seguridad cibernetica. 


FORMATIVO 


Existe mercado para la educacion y la formacion en seguridad de la informacion 
con evidencia de asimilacion; las iniciativas de los profesionales estan dirigidas 
a incrementar el atractivo de las carreras en seguridad cibernetica y su 
pertinencia para roles de liderazgo mas amplios. 


ESTABLECIDO 


Existen algunas ofertas educativas en seguridad cibernetica a nivel nacional e 
institucional, que abarcan desde el nivel elemental hasta postgrado, incluyendo 
la formacion profesional en forma modular. 


ESTRATEGICO 


La oferta educativa se pondera y se centra sobre la base de una comprension 
de los riesgos actuales y las necesidades de habilidades; se desarrollan metricas 
para asegurar que las inversiones educativas respondan a las necesidades del 
entorno de la seguridad cibernetica; los educadores tienen acceso disponible en 
este campo, en particular los especialistas en seguridad cibernetica. 


dinAmico 


Existe integracion y sinergia entre los elementos educativos; los requisitos de 
seguridad cibernetica que prevalecen son tornados en consideracion en el re- 
desarrollo de todo programa general de estudios; la investigacion y el desarrollo 
son una consideracion principal en la educacion sobre seguridad cibernetica; el 
contenido de los programas de educacion se alinea con desafios operacionales 
y seguridad cibernetica practica. 
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il Educacion 


Formacion 


INICIAL 


No existe, o es minima, La formacion en seguridad cibernetica. 


FORMATIVO 


Existe capacitacion en seguridad de La informacion, pero es ad hocy sin coordinacion; 
en cuanto a formacion, hay disponibles seminarios y recursos en tinea para grupos 
demograficos especificos, pero no existen medidas de efectividad. 


ESTABLECIDO 


Los interesados invierten en capacitacion en seguridad cibernetica, to cuat no 
soto es apticabte a rotes de Tl sino tambien a rotes ejecutivos, de gerencia y a 
toda una gama de empteados; se entienden bien tas necesidades de ta sociedad 
y estan documentados tos requisitos de formacion; se evatua ta eficacia de tos 
modos y procedimientos de formacion y se estabtecen atgunas metricas. 


ESTRATEGICO 


Esta disponibte una variedad de cursos de capacitacion en seguridad 
cibernetica de atta catidad y estos son reconocidos internacionatmente; es ctara 
ta conexion de tos programas de capacitacion y educacion con tas prioridades 
de ta estrategia nacionat e institucionaL de seguridad cibernetica. 


DINAMICO 


Existe cotaboracion en ta formacion det sector publico y privado, y fa 
capacitacion esta disponibte tocatmente y se adapta constantemente a tos 
cambios det entorno ya que trata de construir conjuntos de habifidades en 
ambos sectores; existen incentivos patrocinados por Los sectores pubtico y 
privado para La formacion. 


Disponibilidad nacional de la educacion 
y formacion ciberneticas 

Educacion 
• Formacion 
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Desarrollo nacional 

de la education de seguridad 

cibernetica Desarrollo nacional de la education de seguridad cibernetica 


Existencia de programas de educacion 
en seguridad cibernetica, titulos 
universitarios y de otro tipo de educacion 
de alta calidad y cursos sobre seguridad 
cibernetica. Creadon de centros 
nacionales e internacionales ciberneticos 
de excelencia. 


INICIAL 


No existen instructores profesionales en seguridad cibernetica, o son pocos; 
no se cuenta con un programa para capacitar a instructores en seguridad 
cibernetica; o no existe o apenas esta siendo discutida la justificacion del 
presupuesto para la educacion y la investigacion. 


FORMATIVO 


Existen incentivos para la formacion y la educacion; se identifican Kneas 
presupuestales para la formacion y la investigacion y el desarrollo, con una 
oficina establecida para el desarrollo y ejecucion del programa; se establece la 
participacion de las partes interesadas para garantizar la continuidad. 


ESTABLECIDO 


Existen esfuerzos del sector privado y publico para establecer programas para 
mejorar las competencias y la capacidad en materia de seguridad cibernetica; 
una amplia consulta de multiples partes interesadas informa las prioridades de 
la educacion y de cualificaciones nacionales; socios academicos internacionales 
han sido consultados para beneficiarse de las lecciones aprendidas; existen 
centros de excelencia en seguridad cibernetica financiados por el gobierno, 
accesibilidad a habilidades y educacion cibernetica, alineacion de la educacion 
con los problemas del mundo real y financiacion dedicada a la investigacion 
nacional. 


ESTRATEGICO 


Se incrementa el presupuesto y el gasto del gobierno en capacitacion y 
educacion en seguridad cibernetica sobre la base del rendimiento de la 
inversion; las iniciativas gubernamentales encaminadas a aumentar el atractivo 
de las carreras de seguridad cibernetica se sustentan en un analisis de la brecha 
de las competencias existentes; se ha mejorado la cooperacion y la colaboracion 
entre las partes interesadas. 


DINAMICO 


Existe disponibilidad de titulos universitarios y de otro tipo de educacion de 
alta calidad y cursos sobre seguridad cibernetica; los programas de educacion 
en seguridad cibernetica mantienen un equilibrio entre la conservacion de los 
componentes basicos del curriculo y la promocion de los procesos de adaptacion 
que responden a cambios rapidos en el entorno de la seguridad cibernetica; 
se establecen centros ciberneticos internacionales de excelencia a traves de 
programas de hermanamiento dirigidos por instituciones de clase mundial. 
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il Educacion 


Formation e iniciativas 
educativas publicas y privadas 


Programas destinados a mejorar Las 
habilidades de Los empleados para 
que puedan enfrentar Los problemas 
de seguridad cibernetica a medida que 
ocurren. 


Capacitacion de empleados 


INICIAL 


No se LLevan a cabo programas de capacitacion en seguridad cibernetica; poco 
personaldeTI capacitado es designado para apoyar Los probLemas de seguridad 
cibernetica a medida que se producen; puede haber conjuntos de habiLidades, 
pero no se encuentran estrategicamente ubicados y Las herramientas estan 
Limitadas a usuarios autorizados. 


FORMATIVO 


No hay transferencia de conocimientos por parte de Los empLeados de seguridad 
cibernetica capacitados; debido a una formacion Limitada, soLo hay uso informaL 
de herramientas, modeLos o pLantiLLas existentes para La pLaneacion de La 
seguridad cibernetica de La organizacion, sin La integracion automatizada de 
datos. 


ESTABLECIDO 


Existe transferencia deconocimientosde Los empLeadosde seguridad cibernetica 
formados, sobre una base ad hoc; se estabLecen iniciativas de creacion de 
empLeo para La seguridad cibernetica y esto aLienta a Los empLeadores a 
capacitar aL personaL; existen programas estructurados de capacitacion en 
seguridad cibernetica que especifican funciones y responsabiLidades precisas; 
aLgunos sistemas de datos, herramientas y modeLos estan disponibLes con 
personaL capacitado Limitado para operar; La formacion tecnica sigue siendo 
necesaria. 


ESTRATEGICO 


Existe un cuadro suficientemente estabLecido de empLeados cuaLificados 
formados en cuestiones, procesos, pLaneacion y analisis de seguridad 
cibernetica de La organizacion; eL programa de desarroLLo de habiLidades de 
seguridad cibernetica esta integrado, optimizado y automatizado; Los niveLes 
de profesionaLismo en seguridad de La informacion y seguridad cibernetica son 
mas evidentes en todo eL sector publico y privado. 


DINAMICO 


Es continuo eL intercambio de conocimientos de seguridad cibernetica para 
promover eL desarroLLo de habiLidades; se utiLiza La gestion deL cicLo de vida 
de La capacitacion en seguridad cibernetica para servir a futuros programas de 
capacitacion; Los sistemas de datos, herramientas y modeLos son utiLizados por 
una ampLia gama de profesionaLes; ahora es posibLe La integracion automatizada 
de datos, gracias a un grupo de habilidades avanzado en seguridad cibernetica. 
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Gobernanza corporativa, 
conocimiento y normas 


En las empresas estatales y privadas 


Comprension por parte de Las juntas 
directivas de Los riesgos que enfrentan 
las empresas, algunos de los principales 
metodos de ataque y como su empresa 
se ocupa de asuntos ciberneticos. 


INICIAL 


Las juntas directivas no consideran la seguridad cibernetica, o lo hacen 
minimamente; no se analizan consideraciones del deber fiduciario. 


FORMATIVO 


Las juntas directivas tienen algun conocimiento de cuestiones de seguridad 
cibernetica, pero no de la forma en que estas podrian afectar a la organizacion, 
o cuales serian las amenazas directas que pudieran enfrentar. 


ESTABLECIDO 


Las juntas directivas tienen una comprension de la generalidad de como estan 
en riesgo las empresas, algunos de los principales metodos de ataque y como su 
empresa se ocupa de cuestiones ciberneticas (cuestion que suele ser delegada 
al Director de Informacibn); la gestion de eventos es en gran medida reactiva. 


ESTRATEGICO 


Las juntas directivas conocen sus activos estrategicos, han puesto en marcha 
medidas especlficas para protegerlos y conocen el mecanismo por medio del 
cual se protegen; la junta puede asignarles fondos y gente especifica a los 
distintos elementos de riesgo cibernetico, dependiendo de la situacion que 
prevalece en su propia empresa; los planes de contingencia corporativos estan 
listos para hacerles frente a diversos ataques ciberneticos y sus consecuencias; 
se proporciona algun tipo de formacion obligatoria para la junta en seguridad 
cibernetica; la junta tiene un claro sentido de los deberes fiduciarios ciberneticos. 


dinAmico 


Las juntas directivas pueden cambiar la estrategia de seguridad cibernetica 
rapida y adecuadamente; se analizan las nuevas amenazas en cada reunion 
de junta y se reasigna la financiacion y la atencion para hacerles frente a esas 
amenazas; seacudea la junta como una fuente de conocimiento en gobernanza 
de seguridad cibernetica corporativa; la gobernabilidad de la junta se basa en 
el riesgo cibernetico y mejora la gobernabilidad especificamente en esta area. 
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Marcos Legates 


Marcos juridicos de seguridad cibernetica 

Para La seguridad de Las TIC 

Privacidad, proteccion de datos y otros derechos humanos 
Derecho sustantivo de delincuencia cibernetica 
Derecho procesal de delincuencia cibernetica 

Investigation juridica 

Cumplimiento de la ley 

Fiscalfa 

Tribunales 

Divulgacion responsable de la informacion 

Divulgacion responsable de la informacion 
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Marcos juridicos 
de seguridad cibernetica 


Para la seguridad de las TIC 


Incluye Los marcos juridicos sobre Las 
TIC, La privacidad, Los derechos humanos 
y La proteccion de datos y el derecho 
sustantivo y procesal de delincuencia 
cibernetica, y todos incluyen cooperacion 
internacional. 


INICIAL 


La LegisLacion relativa a La seguridad de Las TIC aim no existe o esta en proceso 
de desarrollo; si esta en proceso, se han hecho los esfuerzos para llamar La 
atencion sobre La necesidad de crear un marco juridico sobre La seguridad 
cibernetica y puede incLuirse La necesidad de un anaLisis de deficiencias. 


FORMATIVO 


Los socios experimentados han sido consuLtados para apoyar eL estabLecimiento 
de marcos juridicos y regLamentarios; se han identificado prioridades cLave para 
La creacion de marcos LegaLes de seguridad cibernetica, pero aun no se han 
estabLecido a traves de una consuLta pubLico-privada y con muLtipLes partes 
interesadas. 


ESTABLECIDO 


Se han impLementado Los marcos LegisLativos y regLamentarios de seguridad 
integraL de Las TIC que abordan La seguridad cibernetica; se ha adoptado La 
LegisLacion que protege Los derechos de Los individuos y Las organizaciones en 
eL entorno digitaL. 


ESTRATEGICO 


Las Leyes vigentes y Los mecanismos de reguLacion han sido revisados, 
identificando donde existen brechas y soLapamientos; se priorizan aqueLLas 
areas que necesitan mejoras; se garantiza La integridad, confidenciaLidad, 
disponibiLidad y seguridad gLobaL de La informacion digitaL y Las TIC a traves de 
La revision periodica y mejora de Las medidas LegaLes y regLamentarias. 


DINAMICO 


Se estabLecen mecanismos para optimizar eL sector de La seguridad TIC a traves 
de enmiendas o promuLgacibn de LegisLacion y de La mejora de La armonizacion 
de Los marcos LegaLes de Las TIC con otras poLfticas, Leyes, normas y mejores 
practicas; existen medidas para contribuir aL desarroLLo de mejores practicas 
internacionaLes que informaran aL marco normativo nacionaL 
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Marcos Legates 


Privacidad, proteccion de datos y otros derechos humanos 


INICIAL 


No existe legislacion de privacidad y proteccion de datos o esta en proceso de 
desarrollo; La Legislacion nacional no reconoce Los derechos humanos y civiles 
fundamentales en relacion con delitos relacionados con La cibernetica. 


FORMATIVO 


Existe Legislacion parcial respecto a La privacidad, proteccion de datos y Libertad 
de expresion. 


ESTABLECIDO 


Se han aplicado procedimientos reglamentarios y Legislacion de proteccion 
de datos integral; La Legislacion nacional preve el derecho del individuo a La 
privacidad especificando el aviso, el proposito, el consentimiento, La seguridad, 
La divulgacion, el acceso y La responsabilidad de La informacion personal. 


ESTRATEGICO 


Se ha adoptado una estructura integral del sistema de justicia penal para 
Luchar contra Los delitos relacionados con La cibernetica, respetando Los 
derechos humanos; el pais esta comprometido y trabaja con organizaciones 
internacionales sobre proteccion de datos y privacidad. 


DINAMICO 


EL pais ha adoptado una Legislacion adecuada, que incluye aquella encaminada 
al fomento de La cooperacion internacional y La asistencia judicial reciproca 
con el fin de combatir Los delitos contra La proteccion de datos y privacidad, 
al facilitar su deteccion, investigacion y judicializacion tanto a nivel nacional 
como internacional. Si procede, ha ratificado o se ha adherido a Los tratados y 
otros acuerdos internacionales de proteccion de datos. 


Marcos juridicos de seguridad cibernetica 

Para La seguridad de Las TIC 
• Privacidad, proteccion de datos 
y otros derechos humanos 
Derecho sustantivo de delincuencia 
cibernetica 

Derecho procesal de delincuencia 
cibernetica 
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Derecho sustantivo de delincuencia cibernetica 


INICIAL 


EL derecho penal sustantivo especifico para la delincuencia cibernetica no existe, 
o existe el derecho penal general yse aplica ad hoc a la delincuencia cibernetica. 


FORMATIVO 


Existe una legislacion parcial en el derecho penal sustantivo que aplica los 
marcos legales y regulatorios a algunos aspectos de los delitos ciberneticos; esta 
siendo discutido el derecho penal sustantivo para la delincuencia cibernetica 
entre los legisladores, pero ha comenzado el desarrollo de la ley. 


ESTABLECIDO 


La legislacion vigente tipifica una serie de delitos relacionados con pruebas 
electronicas que pueden ser objeto de una legislacion especlfica o abordados 
en el codigo penal. 


ESTRATEGICO 


El pals se adhiere a las mejores practicas y normativas regionales e 
internacionales pertinentes sobre derecho de delito cibernetico y asigna los 
recursos de acuerdo a las prioridades nacionales. 


DINAMICO 


El pals continuamente busca incluir el desarrollo de las mejores practicas 
internacionales sobre delito cibernetico en la legislacion nacional y es un 
colaborador activo en el discurso global sobre la mejora de los instrumentos 
de la lucha contra delitos ciberneticos internacionales; existen medidas para 
superar en el pals las llneas de base mi'nimas de seguridad internacional. 


Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 
Privacidad, proteccion de datos 
y otros derechos humanos 
• Derecho sustantivo de delincuencia 
cibernetica 

Derecho procesal de delincuencia 
cibernetica 
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Marcos Legates 


Derecho procesalde delincuencia cibernetica 


INICIAL 


No existe el derecho penal procesal adecuado para la delincuencia cibernetica 
y el uso de la prueba electronica en otros crimenes, o existe el derecho penal 
procesal general y se aplica ad hoc a la delincuencia cibernetica y al uso de la 
prueba electronica en otros crimenes. 


FORMATIVO 


Se esta discutiendo y desarrollando el derecho procesal penal en relacion 
con la prueba electronica; el derecho procesal penal se aplica ad hoc a la 
delincuencia cibernetica, pero no ha comenzado el desarrollo de los delitos 
ciberneticos especificos. 


ESTABLECIDO 


Se ha implementado el derecho procesal penal integral y los requisitos 
probatorios relacionados; las mejores practicas se emplean por aplicacion de 
la ley en el ejercicio de poderes procesales. 


ESTRATEGICO 


En el caso de la investigacion transfronteriza, el derecho procesal estipula las 
acciones que es necesario realizar bajo las caracteristicas de casos particulares, 
con el fin de obtener con exito la prueba electronica. 


DINAMICO 


El pals se adhiere a las mejores practicas internacionales sobre procedimiento 
penal de delito cibernetico y la obtencion de pruebas electronicas, y 
constantemente busca implementar estas medidas en la legislacion nacional 
y sirve como un colaborador activo en el discurso global sobre la mejora de 
la lucha contra los delitos ciberneticos internacionales; existen medidas para 
superar las lineas de base mlnimas de seguridad internacional, que contribuyen 
al desarrollo de mejores practicas internacionales. 


Marcos juridicos de seguridad cibernetica 

Para la seguridad de las TIC 
Privacidad, proteccion de datos 
y otros derechos humanos 
Derecho sustantivo de delincuencia 
cibernetica 

• Derecho procesal de delincuencia 
cibernetica 
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Investigation juridica 


Cumplimiento de la ley 


Capacidad de investigacion para 
procesar Las pruebas electronicas y 
luchar contra la delincuencia cibernetica, 
incluida la forma de evaluar, obtener y 
tratar la evidencia digital y utilizar los 
instrumentos procesales adecuados. 


INICIAL 


No existe la capacidad de las autoridades policiales para prevenir y combatir 
los delitos relacionados con la cibernetica. 


FORMATIVO 


Existe alguna capacidad de investigacion para indagar delitos que involucren 
pruebas electronicas, asf como para obtener dichas pruebas, de conformidad 
con el derecho interno; sin embargo, esta capacidad es minima. 


ESTABLECIDO 


Se ha establecido una capacidad institucional integral para investigar y 
manejar casos de delincuencia cibernetica y delitos relacionados con pruebas 
electronicas, incluyendo los recursos humanos, procesales y tecnologicos, 
medidas exhaustivas de investigacion, cadena de custodia digital y gestion de 
integridad de las pruebas y mecanismos formales e informales de colaboracion 
con interesados internacionales y nacionales (actores de los sectores privado y 
publico). 


ESTRATEGICO 


Los oficiales de las fuerzas de la ley reciben una formacion continua basada en 
las responsabilidades relativas y en entornos de amenazas nuevas y cambiantes 
y pueden utilizar herramientas forenses digitales sofisticadas para investigar 
delitos informaticos complejos y delitos relacionados con pruebas electronicas; 
los organismos locales de aplicacion de la ley colaboran con contrapartes 
regionales e internacionales en investigaciones. 


DINAMICO 


Existen recursos dedicados a unidades de delitos informaticos plenamente 
operativas, incluyendo capacidades avanzadas de investigacion y de gestion de 
integridad de los datos; es posible recoger y analizar las estadisticas y tendencias 
que mejorarian la investigacion sobre los delincuentes con el fin de facilitar una 
comprension exhaustiva del ambiente delictivo en llnea y contribuir a la toma 
de decisiones estrategicas; las agencias de aplicacion de la ley nacionales estan 
participando plenamente en la investigacion y redes transfronterizas. 
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Marcos Legates 


Fiscali'a 


INICIAL 


Los fiscales no estan entrenados adecuadamente y no tienen La capacidad para 
enjuiciar Los delitos relacionados con La informatica; no existen recursos para 
comprender o revisar Las pruebas eLectronicas. 


FORMATIVO 


Un numero Limitado de fiscaLes tienen La capacidad de construir un caso basado 
en informacion eLectronica, pero esta capacidad es en gran medida ad hoc, no 
institucionaLizada, y se carece de mecanismos formaLes de coLaboracion con La 
poLici'a. 


ESTABLECIDO 


Se ha estabLecido La capacidad institucionaL para procesar y manejar Los casos 
de deLitos ciberneticos y casos reLacionados con pruebas eLectronicas; existen 
suficientes recursos tecnoLogicos y capacitacion en recursos humanos. 


ESTRATEGICO 


Existen estructuras institucionaLes en operacion que permiten una cLara 
distribucion de tareas y obLigaciones dentro de La fiscaLLa en todos Los niveLes 
deL gobierno; existe una reLacion estrategica entre Los organismos poLiciaLes 
y La fiscaLLa, Lo que permite que Los procedimientos judiciaLes sean rapidos y 
precisos; se anaLizan mediciones, estadisticas y tendencias reLacionadas con 
tasas de condenas exitosas. 


DINAMICO 


Los fiscaLes tienen La capacidad de enjuiciar con exito Los deLitos ciberneticos 
compLejos en eL pais y reaLizar una coLaboracion transfronteriza; La formacion 
esta institucionaLizada y es dinamica, teniendo en cuenta Los entornos nuevos y 
cambiantes de amenazas. 


Investigation juridica 

CumpLimiento de La Ley 
• FiscaLLa 
TribunaLes 
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Tribunales 


INICIAL 


Los jueces no aplican las pruebas electronicas integralmente. 


FORMATIVO 


Un numero limitado de jueces tiene capacidad para presidir un caso de delito 
cibernetico, pero esta capacidad es en gran medida ad hoc y no sistematica; no 
existen recursos judiciales o de formacion en delincuencia cibernetica. 


ESTABLECIDO 


Estan disponi bLes Los recursos judiciales y se cuenta con capacitacion suficiente 
para garantizar la judicializacion eficaz y eficiente de casos de pruebas 
electronicas y delincuencia cibernetica. 


ESTRATEGICO 


Se ha organizado elsistema judicial para garantizarunarelacionestrategicaentre 
el Poder Judicial y la fiscalfa, lo que permite que se adelanten procedimientos 
judiciales rapidos y precisos; se encuentran en funcionamiento mecanismos de 
cooperacion para asegurar la ejecucion de ordenes extraterritoriales. 


DINAMICO 


El Poder Judicial recibe formacion continua basada en las responsabilidades 
relativas y en los entornos cambiantes de amenazas; el sistema judicial esta 
al tanto de los constantes cambios en el entorno de la seguridad cibernetica y 
asigna recursos cuando corresponde. 


Investigation juridica 

Cumplimiento de la ley 
Fiscalfa 
• Tribunales 
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Marcos Legates 


Divulgacion responsable 

de la informacion Divulgacion responsable de la informacion 


Una divulgacion responsable vigente puede 
proporcionar directrices y declaraciones 
especfficas que abordan como se revelara 
una vulnerabilidad y puede mejorar la 
capacidad de seguridad mediante la 
reparacion de la vulnerabilidad y la 
prevencion de cualquier dano futuro. 

Este factor se refiere a un modelo de 
divulgacion de vulnerabilidades o 
metodologia de informes en que una 
parte (el informador) da a conocer de 
forma privada la informacion relacionada 
con una vulnerabilidad descubierta a un 
proveedor de producto o proveedor de 
servicios (parte afectada) y le otorga 
tiempo a la parte afectada para investigar 
la reclamacion e identificar y probar un 
remedio o recurso antes de coordinar la 
divulgacion publica de la vulnerabilidad 
con el informador. 


INICIAL 


No se reconoce la necesidad de una polftica de divulgacion responsable en las 
organizaciones del sector publico y privado. 


FORMATIVO 


Esta vigente un marco de divulgacion de vulnerabilidades, lo que incluye un 
plazo de divulgacion, una resolucion prevista y un informe de reconocimiento; se 
demuestra cierta capacidad de compartir detalles tecnicos de la vulnerabilidad 
con otras partes interesadas que pueden distribuir la informacion de manera 
mas amplia, a traves de mayor cooperacion publico-privada. 


ESTABLECIDO 


Las organizaciones han desarrollado la capacidad de recibir y difundir 
informacion sobre la vulnerabilidad; proveedores de servicios y de software 
aceptan los informes de error y de vulnerabilidad y los abordan y se 
comprometen informalmente a abstenerse de adelantar acciones legales en 
contra de una parte que revela informacion responsablemente. 


ESTRATEGICO 


Se publica un analisis de los detalles tecnicos de la vulnerabilidad y se difunde 
informacion deasesoramientodeacuerdo a lasfuncionesy responsabilidades;se 
establecen procesos de divulgacion responsable de vulnerabilidades, incluidos 
los plazos para todos los interesados implicados (proveedores de productos, 
clientes, proveedores de seguridad y publico); puede haber regulaciones para 
ordenar reportes de vulnerabilidades por parte de los operadores y propietarios 
de infraestructuras cri'ticas. 


DINAMICO 


Las poli'ticas de divulgacion responsable son revisadas y actualizadas de forma 
continua en base a las necesidades de los grupos de interes afectados; los 
mecanismos de divulgacion responsable se sincronizan a nivel internacional; 
los procesos nacionales e internacionales para la revision y la reduccion de los 
plazos se encuentran en operacion. 
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Adhesion a las normas 


Aplicacion de las normas y practicas rm'nimas aceptables 


Este factor se centra en la tecnologia 
de infraestructura y la resiliencia de 
infraestructura nacional. La tecnologia de 
infraestructura apuntala la vida cotidiana 
y asegura que el pals siga funcionando 
social y economicamente. El gobierno y 
el sector privado son capaces de proteger 
los sistemas de informacion del pais y los 
operadores de infraestructuras cri'ticas 
para garantizar una mejor capacidad de 
recuperacion nacional. 


INICIAL 


0 bien no se han identificado normas o practicas para la seguridad de la 
informacion o la identificacion es ad hoc y se carece de un esfuerzo concertado 
para aplicar esas normas. 


FORMATIVO 


Se han identificado estandares de seguridad de la informacion para su uso y ha 
habido algunos signos iniciales de promocion y adopcion del gobierno, sector 
publico y organizaciones de la Infraestructura Crftica Nacional (ICN); hay una 
aplicacion minima de las normas nacionales e internacionales. 


ESTABLECIDO 


Se ha identificado la linea de base acordada a nivel nacional de las normas 
relacionadas con la seguridad cibernetica y practicas menos aceptables y se 
han adoptado ampliamente en todo el sector publico y las organizaciones del 
CNI; se mide y se reporta la adopcion y cumplimiento, con supervision de la 
adopcion por parte del gobierno; se considera el uso de normas para mitigar el 
riesgo de los sistemas de abastecimiento de la ICN. 


ESTRATEGICO 


Las normas se adoptan en el contexto de las decisiones presupuestarias y se 
asignan los recursos de acuerdo con las evaluaciones de riesgo y el debate entre 
los sectores publico y privado, al igual que otras partes interesadas; se estan 
desarrollando e implementando normas especificas del sector; existe evidencia 
de la contribucion a los organismos de normalizacion internacionales y 
liderazgo de pensamiento e intercambio de experiencias de las organizaciones. 


DINAMICO 


La mejora de procesos continua se aplica a la eleccion de las normas y metodos 
empleados y promueve la aplicacion fluida; existe evidencia de la gestion 
de riesgos en colaboracion en las decisiones relativas al incumplimiento por 
todos los sectores y ICN, adaptandose al panorama cambiante de la seguridad 
cibernetica; existe evidencia de un debate maduro en la industria y la sociedad 
en general sobre el uso dinamico de las normas y practicas basadas en la 
evaluacion continua de necesidades. 
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Tecnologias 


Adquisiciones 


INICIAL 


No hay evidencia de uso de las normas relacionadas con la seguridad cibernetica 
en la orientacion de los procesos de adquisicion, o existe algun reconocimiento 
de la orientacion disponible, pero no existe ningun esfuerzo para utilizarlo. 


FORMATIVO 


Se estan desarrollando normas de seguridad cibernetica en las practicas y 
procedimientos de contratacion. 


ESTABLECIDO 


La aplicacion de normas en las practicas de contratacion cumple con las 
directrices internacionales, las normas y las practicas aceptables de Tl y se 
evidencia a traves de evaluaciones de medicion y calidad de la efectividad del 
proceso. 


ESTRATEGICO 


Aspectos crlticos de adquisiciones y suministros, tales como precios y costos, 
calidad, plazos y otras actividades de valor agregado, se mejoran continuamente 
en elcontexto de una planeacion de recursos mas amplios por todas las empresas; 
las habilidades de los profesionales de las adquisiciones pueden ser comparadas 
y evaluadas segun las competencias senaladas en las normas de contratacion 
publica; los grupos de interes internos tienen una comprension global de 
los sistemas de compras electronicas (e-sourcing) o licitaciones electronicas 
(e-tendering) y el proceso integral de compras (P2P) con el fin de aplicar estas 
herramientas en la realizacion de las tareas clave en la contratacion ysuministro. 


DINAMICO 


Las organizaciones tienen la capacidad de controlar el uso de las normas en los 
procesos de adquisiciones y apoyar las desviaciones y decisiones relativas al 
incumplimiento en tiempo real a traves de la toma de decisiones basada en el 
riesgo; las mejores practicas se incluyen en la contratacion y cumplimiento de 
la garantla de calidad de las sociedades. 

Adhesion a las normas 

Aplicacion de las normas y practicas 
minimas aceptables 
• Adquisiciones 
Desarrollo de software 


OBSERVATORIO DE LA 

CIBERSEGURIDAD 

EN AMERICA LATINA Y EL CARIBE 


159 


Desarrollo de software 


Adhesion a las normas 

Aplicacion de las normas y practicas 
minimas aceptables 
Adquisiciones 
• Desarrollo de software 


INICIAL 


No hay identificacion de las normas de desarrollo de software en los sectores 
publico y privado, o hay alguna identificacion pero solo hay una evidencia 
limitada de asimilacion. 


FORMATIVO 


Se estan discutiendo metodologi'as para los procesos de desarrollo de software 
que se centran en la integridad y la capacidad de recuperacion, y el gobierno 
y las comunidades profesionales las estan promoviendo; existe evidencia de 
que dentro de la ICN y del sector publico hay organizaciones que suministran 
y buscan adoptar normas de desarrollo de codigo y del logro de algunas 
acreditaciones con la promocion gubernamental de practicas seguras. 


ESTABLECIDO 


El gobierno tiene un programa establecido para promover la adopcion de 
estandares en el desarrollo de software, tanto para los sistemas del sector 
publico como del sector privado, lo que incluye elseguimiento de la observancia 
de las normas; estan presentes los sistemas de alta integridad y tecnicas de 
desarrollo de software dentro de la oferta educativa y de formacion. 


ESTRATEGICO 


Se estan incorporando consideraciones de seguridad cibernetica en todas las etapas 
de desarrollo y procesos; se han adoptado las actividades basicas de desarrollo, 
incluyendo la configuracion y gestion de documentos, desarrollo de la seguridad y 
la planeacion del ciclo de vida del software; se realiza la seleccion de las normas, 
de los recursos y la toma de decisiones a traves de la evaluacion de riesgos. 


DINAMICO 


Los proyectos de desarrollo de software evaluan continuamente el valor de 
las normas y reducen o mejoran los niveles de cumplimiento de acuerdo con 
decisiones basadas en el riesgo; los requisitos de seguridad cibernetica estan 
integrados en el ciclo de vida de las adquisiciones (requisitos de las necesidades, 
solicitudes de ofertas y contrato); en el caso del software estatal, se realizan las 
evaluaciones a lo largo de toda la vida del contrato. 
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Tecnologias 


Organizaciones de coordination 

de seguridad cibernetica Centro de mando y control 


Este factor analiza la existencia y La 
actividad de Los Equipos de Respuesta 
ante Incidentes de Seguridad Informatica 
(CSIRT, por sus siglas en ingles) y el 
Centro de Mando y Control en el ambito 
nacional, en terminos de capacidad de 
respuesta ante incidentes y mitigacion 
de las amenazas. 


INICIAL 


No existe un centro de mando y control de la seguridad cibenetica, o se esta 
considerando crearlo a nivel nacional. 


FORMATIVO 


La funcion de mando y control esta en manos, de manera informal, de la 
capacidad nacional de respuesta a incidentes o alguna otra entidad, sin una 
autoridad formal de coordinacion. 


ESTABLECIDO 


Se identifica y existe una organizacion de mando y control, pero sin que haya 
recoleccion, procesamiento ni analisis automatizados; existe un mando y control 
ejecutivo oficial para el ciberespacio como un asunto estrategico nacional; se 
cuenta con una vision general de las capacidades de seguridad actuales, pero 
sin conocimiento de la situacion. 


ESTRATEGICO 


Se ha establecido un centro de mando y control con automatizacion mejorada, 
proporcionando un conocimiento basico de la situacion nacional; se hace 
la seleccion de objetivos del centro de mando y control como parte de la 
planeacion de recursos y el desarrollo de politicas estrategicas. 


DINAMICO 


Hay un centro de mando y control de ciberespacio nacional completamente 
desarrollado, que recibe y correlaciona la informacion de las organizaciones 
con la capacidad de respuesta a incidentes, organizaciones publicas/privadas, 
los LSP ("Layered Service Providers" en ingles), la infraestructura crltica de la 
informacion, organizaciones de defensa e inteligencia, y que esta altamente 
automatizado, lo que proporciona conocimiento avanzado de la situacion; el 
conocimiento de la situacion activa esta coordinado con la oficina ejecutiva 
nacional. 
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Capacidad de respuesta a incidentes 


Organizaciones de coordinacion 
de seguridad cibernetica 

Centro de mando y control 
• Capacidad de respuesta a incidentes 


INICIAL 


La capacidad de respuesta de incidentes no es coordinada y se lleva a cabo de 
manera ad hoc. 


FORMATIVO 


Existe un equipo o personal de respuesta a incidentes en el pais, con roles y 
responsabilidades identificadas; la actividad se concentra en la deteccion y 
respuesta a incidentes ciberneticos especificos de la organizacion. 


ESTABLECIDO 


Se ha establecido una capacidad de respuesta a incidentes nacional que 
involucra a los interesados clave, en especial a traves de asociaciones publico- 
privadas; la sostenibilidad financiera de la capacidad de respuesta a incidentes 
es considerada y planificada a traves de la participacion de las principales partes 
interesadas; se desarrolla e implementa un plan de gestion de vulnerabilidades; 
los incidentes se clasifican en consonancia con los planes de respuesta; los 
planes de respuesta y recuperacion estan operando y se gestionan; existe una 
evaluacion nacional de la base de datos de vulnerabilidad del impacto en las 
funciones criticas; la informacion se comparte en consonancia con los planes de 
respuesta; los principales interesados son conscientes de la capacidad nacional 
de respuesta a incidentes y sus responsabilidades. 


ESTRATEGICO 


La capacidad nacional de respuesta a incidentes apoya la creacion de capacidades 
especfficas del sector; se comparten los recursos y la informacion a traves de 
una mayor coordinacion y colaboracion con los equipos locales, regionales e 
internacionales de respuesta a incidentes; la evaluacion de la eficacia del CSIRT 
informa la dotacion de recursos de este; los informes de incidentes ocurren en 
todos los sectores y planes de respuesta, y se ponen a prueba los correspondientes 
planes de recuperacion; se ofrecen servicios forenses; el intercambio de 
informacion se promueve de manera voluntaria entre las partes interesadas 
externas. 


DINAMICO 


La capacidad nacional de respuesta a incidentes es completamente sostenible 
financieramentey recibe apoyo politico, independientementedelastransiciones 
politicas; existe una cooperacion internacional orientada a la formacion de 
mejores practicas entre los grupos de expertos. 
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Tecnologias 


Respuesta a incidentes 


Identificacion y designation 


No todos los incidentes ciberneticos 
pueden ser mitigados, por lo que la 
identificacion de cuales de estos eventos 
constituyen amenazas a nivel nacional 
puede ayudar a limitar el alcance de la 
responsabilidad. Ademas, un enfoque 
organizado y coordinado de respuesta 
a incidentes asegura que las amenazas 
puedan ser manejadas de la manera mas 
eficiente posible. 


INICIAL 


No se identifican ni catalogan incidentes a nivel nacional. 


FORMATIVO 


Se han clasificado ciertos eventos ciberneticos o amenazas y se han registrado 
como incidentes o desafios a nivel nacional. 


ESTABLECIDO 


Se establece un registro central de incidentes ciberneticos a nivel nacional. 


ESTRATEGICO 


Se hacen y se priorizan actualizaciones regulares y sistematicas en el registro 
de incidentes a nivel nacional; existe cierta capacidad para enfocar los recursos 
analiticos de respuesta a incidentes. 


DINAMICO 


La capacidad para adaptar el enfoque en la identificacion y analisis de 
incidentes es dinamica en respuesta a los cambios del entorno y puede incluir 
consideraciones de defensa cibernetica. 
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Organization 


INICIAL 


La respuesta a incidentes a nivel nacional es Limitada o inexistente; la respuesta, 
si La hay, es reactiva y ad hoc. 


FORMATIVO 


Han sido identificadas y contactadas las organizaciones del sector privado que 
son clave para la seguridad cibernetica nacional, sin que haya mecanismos de 
coordinacion o de intercambio de informacion con el sector publico formal; un 
cuerpo central ha sido designado para recopilar informacion sobre amenazas 
de emergencia, sin un mandato especifico para una agencia de respuesta 
cibernetica nacional. 


ESTABLECIDO 


Existe una relacion de coordinacion rutinaria entre los sectores publico y 
privado para responder a incidentes a nivel nacional con alcance limitado, pero 
la respuesta sigue siendo reactiva; se establece la capacidad de respuesta y la 
financiacion para la funcion basica ha sido identificada. 


ESTRATEGICO 


Se han establecido de manera clara y formal los roles y responsabilidades de 
seguridad cibernetica para el gobierno, la infraestructura crftica, la empresa y 
los sistemas individuales; los recursos asignados a la respuesta de emergencia 
son adecuados para enfrentar el entorno de amenazas de seguridad cibernetica. 


DINAMICO 


Una capacidad de alerta temprana se incorpora a la mision de la organizacion 
de respuesta a emergencias, que busca darle forma a y/o gestionar el panorama 
de las amenazas antes de responder a desafios especificos; las herramientas 
para la deteccion, identificacion, prevencion, respuesta y mitigacion tempranas 
de vulnerabilidades de dia cero estan incluidas en la (s) organizacion (es) de 
respuesta a emergencias. 


Respuesta a incidentes 

Identificacion y designacion 
• Organizacion 
Coordinacion 
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Tecnologias 


Coordinacion 


INICIAL 


La responsabilidad de La respuesta a incidentes puede haber sido asignada, o 
no, de manera informal a un miembro del personal dentro de cada agencia y 
ministerio del gobierno. 


FORMATIVO 


Se han identificado y publicitado directores de incidentes en cada agencia y 
ministerio a nivel nacional; los canales de comunicacion entre estos directores 
siguen siendo ad hoc e incoherentes. 


ESTABLECIDO 


Se ha establecido y publicado una respuesta nacional a incidentes coordinada, 
con procesos claros y funciones y responsabilidades definidas; se preparan 
Kneas de comunicacion para situaciones de crisis. 


ESTRATEGICO 


Ahora las capacidades tecnicas van mas alia de la coordinacion de la respuesta 
e incluyen analisis de incidentes y apoyo; se establecen servicios proactivos 
y servicios de gestion de calidad de la seguridad en las organizaciones 
subnacionales y sectoriales. 


DINAMICO 


La respuesta a incidentes se adapta al entorno de amenazas; la coordinacion 
nacional de varios niveles entre todos los niveles y sectores es fundamental 
para la respuesta a incidentes; existe coordinacion entre las organizaciones 
regionales e internacionales de respuesta a incidentes. 


Respuesta a incidentes 

Identificacion y designacion 
Organizacion 
• Coordinacion 
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Resiliencia 

de la infraestructura nacional 


Infraestructura tecnologica 


Este factor se enfoca en La tecnologfa de 
la infraestructura y la resiliencia de la 
infraestructura nacional. La tecnologfa 
de la infraestructura sustenta la vida 
cotidiana y asegura que el pals siga 
funcionando social y economicamente. 
El gobierno y el sector privado pueden 
proteger los sistemas de informacion del 
pais y los operadores de infraestructuras 
crfticas para asegurar una mejor 
capacidad de recuperacion nacional. 


INICIAL 


La infraestructura de servicios de Internet no es fiable; cuando es confiable los 
servicios son asequibles, pero con escasa utilizacion de las tarifas de servicios; 
la disponibilidad de la tecnologfa para apoyar el comercio electronico y la 
interaccion de negocio a negocio es una preocupacion, pero no se ha establecido 
ninguna o casi ninguna accion coherente. 


FORMATIVO 


Se realiza el despliegue no estrategico de la tecnologfa y los procesos en 
los sectores publico y privado; estan disponibles en Ifnea servicios publicos, 
informacion y contenidos digitales, pero son limitadas la implementacion y el 
proceso. 


ESTABLECIDO 


Los procesos y tecnologfa desplegados cumplen estandares internacionales, 
directrices y mejores practicas de Tl; el uso de Internet para la comunicacion 
entre todas las partes interesadas se integra en la practica cotidiana de 
funcionamiento; el Internet se utiliza para el negocio de comercio electronico y 
se establecen medidas y procesos de autenticacion y transacciones electronicas. 


ESTRATEGICO 


Se han establecido procesos de seguridad rigurosos en los sectores privados 
y gubernamentales, especialmente para la gestion de riesgos de seguridad, 
evaluacion de amenazas, respuesta a incidentes y la continuidad del negocio; se 
lleva a cabo una evaluacion periodica de procesosy seguridad de la infraestructura 
de informacion nacional de acuerdo con las normas y directrices; se evaluan los 
beneficios medibles para las empresas de inversiones adicionales en tecnologfa. 


DINAMICO 


Se controla con eficacia la adquisicion de tecnologfas de infraestructura, con 
una flexibilidad incorporada de acuerdo a los cambios en la dinamica del 
mercado; se evaluan y minimizan continuamente los costos de las tecnologfas 
de infraestructura; los procesos estan totalmente automatizados, y a menudo 
incorporados en la propia tecnologfa. 
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Tecnologias 


Resiliencia nacional 


El gobierno no tiene control de la infraestructura tecnologica o este control es 
minimo; las redes y sistemas son tercerizados, con potencial de adopcion por 
parte de mercados de terceros poco fiables; puede haber una dependencia de 
otros paises en tecnologia de la seguridad cibernetica. 


FORMATIVO 


La infraestructura nacional se gestiona de manera informal, sin procesos, 
funciones ni responsabilidades documentados; hay un apoyo regional para la 
tecnologia de la seguridad cibernetica y la infraestructura en el pais. 


ESTABLECIDO 


La infraestructura nacional es administrada formalmente, con procesos, 
funciones y responsabilidades documentados y limitada redundancia; el apoyo 
regional a las tecnologias ciberneticas se complementa con un programa 
nacional para el desarrollo de infraestructura. 


ESTRATEGICO 


Se lleva a cabo la gestion basada en los riesgos y las mejores practicas con el 
analisis formal de las vulnerabilidades; se llevan a cabo evaluaciones de la 
capacidad de recuperacion nacional para la ICN y los servicios esenciales para 
proteger los sistemas de informacion del pais y los operadores de ICN y los 
servicios esenciales. 


DINAMICO 


La adquisicion de tecnologias criticas esta controlada eficazmente, con 
una gestion de los procesos de continuidad de servicio y de la planeacion 
estrategica; es predominante la alta disponibilidad de tecnologias criticas como 
parte del marco de gobernanza formal; se mantienen, mejoran y perpetuan 
sistematicamente las capacidades cientfficas, tecnicas, industriales y humanas 
con el fin de mantener la resiliencia independiente del pais. 


Resiliencia de la infraestructura nacional 

Infraestructura tecnologica 
• Resiliencia nacional 


OBSERVATORIO DE LA 

CIBERSEGURIDAD 

EN AMERICA LATINA Y EL CARIBE 


167 


Proteccion de la Infraestructura 
Critica Nacional (ICN) 


Identification 


Si bien Los distintos gobiernos pueden 
identificar diferentes entidades como 
"infraestructura critica", es importante 
que se tomen las medidas adecuadas para 
proporcionar la seguridad cibernetica 
necesaria para proteger estos activos 
cruciales. Estas medidas deben basarse 
en una cuidadosa planeacion y gestion 
adecuada del riesgo. 


INICIAL 


Se entiende poco o nada de los activos y las vulnerabilidades de la ICN, pero no 
han sido identificadas las vulnerabilidades o categorizacion formal. 


FORMATIVO 


Se ha creado una lista general de activos de la ICN, sin identificar prioridades 
basadas en el riesgo. 


ESTABLECIDO 


Se lleva a cabo una auditoria de los activos de la ICN de forma regular; se analiza 
con las partes interesadas la difusion de las listas de auditoria de activos de la 
ICN en funcion de un modelo de asociacion publico-privada. 


ESTRATEGICO 


Los riesgos de la ICN han sido priorizados de acuerdo a la vulnerabilidad y el 
impacto, lo que guia las inversiones estrategicas; se han determinado y establecido 
los procesos de gestion de activos y de vulnerabilidad de los activos de la ICN 
para que se puedan hacer las mejoras continuas de seguridad; se ha hecho una 
distincion entre los activos de la ICN y servicios esenciales para la actividad del 
dfa a dia. 


DINAMICO 


La lista de prioridades de los activos de la ICN se re-evalua regularmente para 
capturar los cambios en el entorno de amenazas; se entiende y se incorpora a 
la planeacion futura el impacto del riesgo de la seguridad cibernetica en las 
operaciones comerciales de los propietarios de los activos de la ICN, incluyendo 
los costos directos y de oportunidad, el impacto en los ingresos y los obstaculos 
a la innovacion. 
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Tecnologias 


Organization 


INICIAL 


Hay poca o ninguna interaccion entre Los ministerios gubernamentales y los 
propietarios de los activos criticos; no existe un mecanismo de colaboracion 
formal. 


FORMATIVO 


Se establece un mecanismo para la divulgacion periodica de vulnerabilidades 
entre el sector publico y privado, pero no se ha especificado el alcance de los 
requisitos de presentacion de informes. 


ESTABLECIDO 


Los requisitos de informacion definidos entre los propietarios de activos de 
la ICN y el sector publico son suficientes para atender las necesidades de 
seguridad nacional. 


ESTRATEGICO 


Existe un claro entendimiento de las responsabilidades y obligaciones de los 
propietarios y operadores de los activos de la ICN; se observa cooperacion y 
coordinacion con los ministerios y las agencias nacionales de seguridad. 


DINAMICO 


En la regulacion de los activos del ICN, se logro un equilibrio entre la satisfaccion 
de las necesidades nacionales de seguridad cibernetica y la implicacion de costos. 


Proteccion de la Infraestructura 
Critica Nacional (ICN) 

Identificacion 
• Organizacion 
Planeacion de respuesta 
Coordinacion 
Gestion de riesgos 
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Planeacion de respuesta 


INICIAL 


La planeacion de la respuesta a un ataque a los activos crlticos puede haber 
sido discutida ampliamente, pero no existe un plan formal. 


FORMATIVO 


La proteccion de los activos crlticos incluye las pollticas de seguridad de datos 
y sensibilizacion sobre seguridad cibernetica a nivel basico pero no se han 
acordado procesos o procedimientos de proteccion. 


ESTABLECIDO 


Se han establecido procedimientos y procesos de proteccion de informacion 
con el apoyo de soluciones de seguridad tecnicas adecuadas; se utilizan 
procedimientos de gestion de riesgos para crear un plan de respuesta y 
producir un curso repetible de actuacion en caso de incidentes; se comprueban 
los enlaces de comunicacion, se llevan a cabo medidas de mitigacion de danos 
y analisis y se realizan ejercicios para prepararse para un evento. 


ESTRATEGICO 


Se lleva a cabo con regularidad la evaluacion de la gravedad de un incidente 
en activos crlticos y la planeacion de la respuesta se basa en esa evaluacion; las 
mejoras en los mecanismos de respuesta se llevan a cabo rutinariamente a fin 
de promover respuestas estrategicas. 


DINAMICO 


La supervision continua de la seguridad garantiza que las medidas de proteccion 
demuestren la eficacia continua e indica que tecnologlas, pollticas o procesos 
requieren cambios; se ha establecido un mercado de seguros para la seguridad 
cibernetica y se han explorado opciones para el reaseguro para apoyar la 
continuidad del negocio. 


Proteccion de la Infraestructura 
Crltica Nacional (ICN) 

Identificacion 
Organizacion 
• Planeacion de respuesta 
Coordinacion 
Gestion de riesgos 
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Tecnologias 


Proteccion de la Infraestructura 
Critica Nacional (ICN) 

Identificacion 
Organizacion 
Planeacion de respuesta 
• Coordinacion 
Gestion de riesgos 


Coordinacion 


INICIAL 


Los procedimientos informales de dialogo entre el sector publico y privado son 
inexistentes; o, pueden haber sido desarrollados, pero carecen de parametros de 
intercambio de informacion y generalmente o son individuales o no estructurados. 


FORMATIVO 


Ha tenido lugar un dialogo para determinar que industrias y organismos son 
fundamentales para el ecosistema nacional cibernetico; se ha establecido una 
comunidad informal de operadores de la ICN; es evidente un dialogo regular 
entre los niveles ejecutivos estrategicos y tacticos respecto de las practicas de 
riesgo cibernetico. 


ESTABLECIDO 


Se han definido las estrategias internas y externas formales de comunicacion 
de la ICN y son coherentes en todos los sectores, con una estrategia de 
comunicacion que ha sido avalada y con un punto de contacto claro; se han 
acordado la perspectiva de la politica del gobierno, el proceso de toma de 
decisionesy la maquinaria para la gestion ygaranti'a de la seguridad cibernetica. 


ESTRATEGICO 


Se ha establecido una campana de sensibilizacion para facilitar la estrategia 
de comunicacion de la ICN con un punto de contacto para obtener esta 
informacion; han sido claramente identificados y administrados los requisitos 
y vulnerabilidades de seguridad cibernetica en los sistemas de abastecimiento 
de la ICN; se ha implementado un proceso de revision de las vulnerabilidades. 


DINAMICO 


Se ha creado confianza entre el gobierno y las ICN con respecto a la seguridad 
de datos e intercambio de informacion sobre amenazas, lo que sirve para la 
toma de decisiones estrategicas; la gestion de riesgos de seguridad cibernetica 
es parte de la cultura organizacional y activamente refleja el entorno operativo 
de la red; miembros de la junta directiva de nivel C pueden tomar decisiones de 
gestion de riesgos con conocimiento de causa sobre la base de la inteligencia 
confiable comunicada con eficacia. 
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Gestion de riesgos 


INICIAL 


La conciencia acerca de amenazas por parte de Los operadores de la ICN es 
minima, o no existe en absoluto; las habilidades y comprension basicas de 
gestion de riesgos pueden ser incorporadas en las practicas empresariales, pero 
la seguridad cibernetica esta supeditada a las Tl y el riesgo de proteccion de 
datos y no se reconoce mas ampliamente. 


FORMATIVO 


Se ha avanzado algo en materia de capacitacion y creacion de conciencia a 
fin de que la gestion de incidentes se pueda aplicar de manera eficiente; se 
implementa el control de acceso y se proporciona formacion; la industria de la 
ICN tiene capacidades basicas para detectar, identificar, proteger, responder 
y recuperarse de las amenazas ciberneticas, pero estas capacidades son 
descoordinadas y varian en calidad. 


ESTABLECIDO 


Se han establecido directrices sobre mejores practicas ciberneticas de ICN y 
medidas de seguridad minimas; se han definido procedimientos de respuesta a 
incidentes y todas las entidades apropiadas participan activamente; se registra 
la deteccion de amenazas internas; se ha establecido una base legal para la 
seguridad de la red de ICN (del lado del operador y del usuario); la aplicacion 
de las normas de la ICN es monitoreada y revisada. 


ESTRATEGICO 


La seguridad cibernetica esta firmemente arraigada en la practica general 
de gestion de riesgos; se desarrollan medidas de seguridad para garantizar la 
continuidad del negocio de la ICN en el contexto del entorno de riesgo que 
prevalece; los recursos se asignan en proporcion a la evaluacion del impacto 
de un incidente para garantizar la puntualidad y la eficacia de la respuesta a 
incidentes. 


DINAMICO 


Proteccion de la Infraestructura 
Critica Nacional (CNI) 

Identificacion 
Organizacion 
Planeacion de respuesta 
Coordinacion 
• Gestion de riesgos 


Se implementan practicas de auditoria periodicas para evaluar las dependencias 
de red y del sistema, lo que sirve de base para la reevaluacion continua de la cartera 
de riesgo; se fomenta la autorregulacion; estan operando los procedimientos para 
optimizar el marco juridico relativo a la ICN por medio de la modificacion de la 
legislacion existente o promulgacion de nuevas regulaciones legales, segun sea 
necesario. 
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Tecnologias 


Gestion de crisis 


Planeacion 


La gestion de crisis es mas que la respuesta 
a incidentes. Ejercicios ciberneticos, por 
ejemplo, pueden simular una variedad 
de roles, desde atacantes a defensores, 
equipos de comunicacibn, organismos 
de coordinacion y varios otros, todos los 
cuales son cruciales en caso de una crisis 
real. La planeacion y la evaluacion de 
las aplicaciones de gestion de crisis les 
ofrecen a los interesados la capacidad 
para hacerles frente a situaciones del 
mundo real. 


INICIAL 


No hay entendimiento, o es minimo, de que la gestion de crisis es necesaria para 
la seguridad nacional; se ha asignado en principio la autoridad de planeacion y 
diseno del ejercicio, pero no se ha esbozado la planeacion. 


FORMATIVO 


Se ha llevado a cabo una evaluacion preliminar de las necesidades de las 
medidas que requieren comprobacion, con la consideracion de un escenario 
de ejercicio simple, con un tamano, ambito geografico, recursos y coordinacion 
limitados; estan incluidos actores clave en el proceso de planeacion. 


ESTABLECIDO 


Un escenario realista de alto nivel informa un plan para poner a prueba los flujos 
de informacion y toma de decisiones integral y nueva informacion alimenta el 
ejercicio en puntos clave; se utilizan monitores externos, o se les proporciona 
formacion profesional a monitores internos. 


ESTRATEGICO 


El proceso de planeacion incluye objetivos especificos, medibles, alcanzables, 
realistas y de duracion determinada (SMART, por sus siglas en ingles), 
Infraestructuras de Clave Publica (PKI, por sus siglas en ingles), la participacion 
de los participantes, un esbozo de su papel en el ejercicio y la articulacion de 
los beneficios y los incentivos para la participacion; se desarrolla la confianza 
con bastante antelacion a traves del proceso de reclutamiento y el ejercicio 
previo, y mediante el control garantizado de la confidencialidad. 


DINAMICO 


El programa de ejercicio es amplio en su alcance geografico y participacion, 
asi como en complejidad politica/tecnica; el ejercicio aborda desafios 
internacionales y produce resultados escalables para el desarrollo de politicas y 
toma de decisiones estrategicas; observadores externos participan y contribuyen 
al proceso. 
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Evaluacion 


INICIAL 


No se ha realizado ninguna evaluacion de los protocolos y procedimientos de 
gestion de crisis; los resultados de los ejercicios no informan a la gestion global de 
crisis. 


FORMATIVO 


Existe la conciencia general de las tecnicas y metas de gestion de crisis; el 
ejercicio se evalua y los participantes proporcionan comentarios sobre una 
base ad hoc, pero esto no alimenta la toma de decisiones. 


ESTABLECIDO 


Las partes interesadas estan incluidas en el proceso de evaluacion; se recogen 
indicadores medibles de exito, incluyendo cuestionarios, pruebas repetidas, 
seguimientos y lecciones aprendidas; los resultados se cotejan, analizan y se 
introducen en el proceso de toma de decisiones; los resultados se evaluan 
sobre la base de las mejores practicas de gestion de crisis a nivel nacional e 
internacional. 


ESTRATEGICO 


SMART y PKI producen resultados estructurados, medibles, que redundaran 
en recomendaciones utiles para los responsables de las pollticas y las partes 
interesadas; se preparan informes personalizados especlficos al sector para cada 
grupo de interes, garantizando al mismo tiempo la seguridad de la informacion 
sensible; los resultados de la evaluacion de gestion de crisis informan la 
implementacion de estrategias nacionales y las asignaciones presupuestales. 


DINAMICO 


Se le proporciona a la comunidad internacional la evaluacion de la 
participacion del pals en los ejercicios internacionales de gestion de crisis, 
por lo que las lecciones aprendidas pueden contribuir a una comprension 
global de la gestion de crisis. 


Gestion de crisis 

Planeacion 
• Evaluacion 
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Tecnologias 


Redundancia digital 


En el escenario donde se desactiva La 
comunicacion por medios electronicos, 
es fundamental la creacion de vinculos 
de coordinacion de respaldo entre los 
servicios de emergencia que no se basan 
en redes digitales de comunicacion 
para mejorar la polltica y la estrategia 
cibernetica. 


Planeacion 


INICIAL 


Pueden considerarse o no medidas de redundancia digital. 


FORMATIVO 


Las partes interesadas se reunen por medio de asociaciones publico-privadas 
para identificar brechas y superposiciones en las comunicaciones de los activos 
de respuesta de emergencia y enlaces de autoridad; se establecen prioridades 
de activos de respuesta de emergencia y procedimientos operativos estandar 
en el caso de una interrupcion de las comunicaciones a lo largo de cualquier 
nodo de la red de respuesta de emergencia. 


ESTABLECIDO 


Los activos de respuesta de emergencia estan cableados en una red de 
comunicacion segura; se asignan recursos adecuados para la integracion de 
hardware, pruebas de estres tecnologico y capacitacion de personal y ejercicios 
de simulacion de crisis. 


ESTRATEGICO 


Se lleva a cabo divulgacion y educacion de los protocolos de comunicacion 
redundantes para las principales partes interesadas y se las adapta a sus 
funciones y responsabilidades unicas. 

DINAMICO 


Los interesados contribuyen a los esfuerzos internacionales sobre planeacion 
de la comunicacion de redundancia. 
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Organization 


INICIAL 


Los activos de respuesta de emergencia actuates no han sido identificados; si se 
identifican, carecen de cualquier nivel de integracion. 


FORMATIVO 


Los activos de respuesta de emergencia se mapean y se identifican, posiblemente 
incluyendo detalles sobre su ubicacion y sus operadores designados. 


ESTABLECIDO 


La comunicacion se distribuye a traves de las funciones de respuesta de 
emergencia, areas geograficas de responsabilidad, respondedores publicos y 
privados y las autoridades de mando. 


ESTRATEGICO 


Los acti vos de respuesta de emergencia prueban la interoperabilidadyfuncionan 
con eficacia en escenarios y ejercicios de comunicacion comprometidos; los 
resultados de estos escenarios luego sirven de base para la inversion estrategica 
en futuros activos de respuesta a emergencias. 


DINAMICO 


Esta operando la eficiencia optimizada para mediar cortes prolongados de 
sistemas; activos a nivel nacional pueden actuar para ayudar a los palses 
vecinos en caso de una crisis o incidente a nivel internacional; se proponen, 
programan y llevan a cabo mapeos y simulacros de interoperabilidad de 
respuesta a emergencias sobre una base anual. 


Redundancia digital 

Planeacion 

Organizacion 


Tecnologfas 


Mercado de la ciberseguridad 


Este factor se refiere a La disponibilidad de 
tecnologfas de seguridad cibernetica de La 
informacion y red y apoyo especializado 
para el despliegue, y tambien al 
seguro cibernetico como una forma 
de proteccion contra Las perdidas que 
afectan directamente at titular del seguro 
o contra Las perdidas de otra organizacion 
o individuos afectados por una falla de 
seguridad. 


Tecnologfas de seguridad cibernetica 


INICIAL 


Poca o ninguna tecnologfa se produce en el pais; pueden estar restringidas Las 
ofertas internacionales o son vendidas con un sobreprecio. 


F0RMATIV0 


La tecnologfa y Los procesos de seguridad en el gobierno y el sector privado estan 
disponibles y desplegados; el mercado interno ofrece productos genericos, no 
especializados; Las ofertas no estan impulsadas por el mercado; consideraciones 
de seguridad estan integradas en el software y La infraestructura. 


ESTABLECIDO 


Se crean y administran Los sistemas de control de tecnologfa de La informacion; 
Los productos de seguridad informatica nacional provienen de proveedores 
Locales; Las tecnologfas estan desplegadas en el pais para detectar y registrar 
incidentes ciberneticos, incluyendo ataques sofisticados; se implementan 
tecnologfa y procesos de seguridad avanzados en Las redes empresariales 
sensibles para permitir el intercambio de informacion segura. 


ESTRATEGICO 


Las tecnologfas de seguridad cibernetica, incluyendo el software, cumplen 
con Las directrices de codificacion segura, mejores practicas y se acogen a 
Las normas reconocidas internacionalmente; Las tecnologfas y procesos estan 
actualizados a traves de Los sectores de seguridad, con base en La evaluacion 
del riesgo estrategico; La evaluacion de riesgos tambien sirve de base para La 
aplicacion de Los incentivos del mercado hacia productos priorizados a fin de 
mitigar Los riesgos identificados. 


DINAMICO 


Las caracterfsticas de seguridad en La arquitectura de software se actualizan 
continuamente a medida que se requiere; Las funciones de seguridad en Las 
configuraciones de sistemas informaticos y software estan automatizadas en el 
desarroLLo y despliegue de soLuciones de seguridad; La dependencia nacional de 
tecnologfas extranjeras se mitiga a traves de La capacidad nacional mejorada; 
el mercado nacional de productos de seguridad cibernetica se exporta a otros 
pafses y se consideran productos de calidad superior. 
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Seguros de delincuencia cibernetica 


INICIAL 


La necesidad de un mercado para Los seguros de delincuencia cibernetica no ha 
sido identificada a traves de la evaluacion de riesgos financieros para el sector 
publico y privado. 


FORMATIVO 


Se ha identificado la necesidad de un mercado para los seguros de delitos 
informaticos a traves de la evaluacion de riesgos financieros para los sectores 
publico y privado; ahora se esta discutiendo el intercambio de las mejores 
practicas en materia de evaluacion y reduccion de riesgos, incluyendo el 
desarrollo y uso de estandares y productos variados apropiados. 


ESTABLECIDO 


Se ha establecido el mercado para los seguros de la delincuencia cibernetica 
y se fomenta el intercambio de informacion entre los participantes; se ofrecen 
productos adecuados para las PYME. 


ESTRATEGICO 


El seguro cibernetico especifica una variedad de coberturas para mitigar 
perdidas consecuentes; estas coberturas son seleccionadas en base a las 
necesidades de planeacion estrategica y de riesgo identificadas. 


DINAMICO 


Existe un mercado vibrante, innovador y estable de seguros de cibernetica y 
se adapta a los riesgos emergentes; constantemente se revisan y mantienen 
los programas de reduccion de riesgo planeados; se ofrecen primas de seguros 
y programas de recompensas para el comportamiento cibernetico seguro 
constante; los productos de seguros estan alineados con las aplicaciones 
dinamicas de las normas y practicas de seguridad cibernetica. 


Mercado de la ciberseguridad 

Tecnologias de seguridad cibernetica 
• Seguros de delincuencia cibernetica 
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